BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)

最新推荐文章于 2022-04-09 12:24:25 发布
最新推荐文章于 2022-04-09 12:24:25 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: BUU-PWN 文章标签: 数据结构 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105514596
版权
该博客详细分析了一个名为'ciscn_2019_final_5'的PWN挑战,讨论了没有PIE和partial relro的情况。博主发现通过特定条件可以修改GOT表,特别是在index为16时,可以利用内存分配漏洞伪造chunk头部。漏洞利用部分描述了如何添加和释放note,修改内存布局,最终控制程序执行以实现puts@plt的泄露和system调用,从而获得shell。
摘要由CSDN通过智能技术生成

目录

题目分析

例行安全检查
在这里插入图片描述
没有PIE,方面调试
partial relro意味着这题应该直接改GOT表就能做
菜单:
在这里插入图片描述
没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt
可以申请17个chunk,编号为0-16
在这里插入图片描述
每次分配结束后会显示分配内存的低12bits
在这里插入图片描述
而本题中还有一个特殊的地方,就是content数组(0x6020e0)里面放的地址是按照顺序放入的,而不是编号为i的就放在content[i],所以地址的最低4个字节就用来存放编号了
在这里插入图片描述
在删除或者编辑的时候,就会依次遍历每个地址,对比index
在这里插入图片描述

漏洞分析

如上所说,本题地址存放比较特别,但是如果index为16,并且原地址第五位为0,就会导致地址被修改
而我们第一次申请时候地址最低12bits一般为0x260,即0010 0110 0000,和16即0001 0000或,就变成了0010 0111 0000即为0x270,我们就可以在chunk0的content中伪造一个chunk头部,把它释放之后再申请我们就能利用它控制下一个chunk了

漏洞利用

  1. 添加一个note[0],编号为16,size为0x10,内容为p64(0)+p64(0x91),再添加一个note[1],编号为1,size为0xc0(这个大小正好可以包括住content和size数组)
  2. 释放note[0]和note[1],重新申请一个0x80大小的note[2],把note[1]头部size改为0x21,fd改为content数组0x6020e0
  3. 申请一个0xc0大小的note[3],再申请同样大小的note[4],填入free_got, puts_got+1和atoi_got-4,大小全部设为0x10
  4. 先把free_got改为puts@plt(edit 8——free@got&0xf=8,atoi@got&0xf=8,所以需要减4),然后delete(1)泄露puts地址
  5. edit 4把system地址写入,然后发送/bin/sh\x00即可

Exp

from pwn import *

r = remote("node3.buuoj.cn", 27223)
#r = process("./ciscn_2019_final_5/ciscn_2019_final_5")

context.log_level = 'debug'
DEBUG = 0
最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 387
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 593
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
ciscn_2019_final_5
z1r0的博客
02-28 254
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
ciscn_2019_final_5(临界条件错误劫持GOT)
m0_51251108的博客
11-11 647
ciscn_2019_final_5: got表可写,pie没开 程序分析: 主界面: add函数: delete函数: 由于一般地址都会16位对齐,这里的free用按位与取前15位,最后一位为0 其实也没啥问题 edit函数: 和delete,都是取最后一位为下标 漏洞分析: 漏洞出现在add函数里的index我们能取0x10,即(0001 0000) 而它如果与倒数第五位为0的heap_ptr按位与的话会导致存进heap_list的地址变大0x10 例:我们申请第一个堆的地址最后三位一般为0x
ciscn_2019_final_3
、moddemod
07-08 653
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4084
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 639
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1038
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 992
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 181
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1141
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
ciscn_final_5
seaaseesa的博客
04-09 428
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
ciscn_final_3
seaaseesa的博客
04-09 354
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 756
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
CISCN final 几道web题总结
weixin_30376453的博客
07-30 238
因为都有源码,所以这里直接从源码开始分析: 1.Easy web 这道题本来的意思应该是通过注入来load_file读取config.php来泄露cookie的加密密钥,从而伪造身份进行登陆再上传shell 这里本来addslashes以后就基本没法注入,但是这里却多了两行替换,所以能够继续注入, 这里config过滤可以使用16进制或者char编码绕过: ...
open表和closed表_劫持got表绕过disable_functions
weixin_39559559的博客
11-24 788
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got表来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
pwn学习】GOT劫持
Morphy_Amo的博客
12-15 4094
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
特别地,__libc_init_ptr是与plt相关的.got表项,它存放着最终要调用的函数地址。 笔记中还提及了pwntools库中的recvuntil函数,这是一个实用工具,允许攻击者在socket通信中接收数据直到遇到特定字符串,这对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值