buuoj Pwn writeup 111-115

最新推荐文章于 2022-07-04 22:57:08 发布
原创 最新推荐文章于 2022-07-04 22:57:08 发布 · 476 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文解析了多个CTF挑战题目,包括利用UAF漏洞修改fd指针、栈溢出攻击、利用信号量机制获取flag等技术细节。

111 gyctf_2020_signin

保护

在这里插入图片描述在这里插入图片描述四个功能,1,2,3,6.

1 add
在这里插入图片描述在这里插入图片描述
只能申请0x70大小的chunk,而且最多申请十次。

edit
在这里插入图片描述输入的大小最多0x50.cnt的值初始化为0,所以只有一次edit的机会。

在这里插入图片描述没有清理干净,有uaf。

在这里插入图片描述后门函数也有了,但是里面先是莫名其妙申请了个chunk,然后要求这个从来没有用过的ptr不是null。

注意到这个题是18.04,有tcache机制。

在说这个题的整体思路前呢,我们需要先明白两个机制。
calloc 有以下特性

不会分配 tcache chunk 中的 chunk 。

tcache 有以下特性

在分配 fastbin 中的 chunk 时若还有其他相同大小的 fastbin_chunk 则把它们全部放入 tcache 中。

我们的总体思路是这样的。
因为我们最终的目的只不过是在ptr中能留下点什么东西就好。结合这道题的漏洞uaf,我们能做的是修改一些fd啥的。那么怎么通过这个uaf做到修改。
我们平常如果有uaf的话,就会去想到fastbin_attack,或者double free。但是这道题double free不行,他会有flag检测,我们只能想一想fastbin_attack的事情。
平常的话我们可以先修改一次fd,申请到malloc_hook,然后再写一次这样子,但是这道题我们只能写一次,我们只能向这道题靠拢,想办法利用题里面的把ptr的地方写一些东西。
我们最后发现system上面有个calloc,结合上面的机制,假如我们calloc的时候只能申请fastbin,而且会把剩余的大小相同的chunk挂入tcache,那么我们假如修改一次fastbin的fd,calloc一次,让下一个chunk,也就是我们的fakechunk挂到tcache链里面,那么自然会在那个fakechunk里面写一个chunk的地址,因为要形成一个链,那么我们的利用方式就想好了。

具体的利用方法
我们想要达成的最后目的是,申请一个fastbin的时候,把下一个我们的fakechunk挂进去,所以我们首先需要有fastbin chunk,那么就申请8个,释放8个。

我们需要再申请一个,因为我们需要给一会要挂进去的chunk留一个位置,然后就直接calloc申请,挂进去就好了。

exp

from pwn import *

r = remote("node3.buuoj.cn", 26121)

context.log_level = 'debug'
 
def add(idx):
    r.sendlineafter('your choice?',str(1))
    r.sendlineafter('idx?',str(idx))
 
def edit(idx,context):
    r.sendlineafter('your choice?',str(2))
    r.sendlineafter('idx?',str(idx))
    r.send(context)
 
def delete
最低0.47元/天 解锁文章
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 787
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
wustctf2020_name_your_cat
z1r0的博客
01-17 743
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)
mcmuyanga的博客
03-13 1581
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 535
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 591
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 363
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 586
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 356
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3472
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 347
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 353
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1226
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 316
buuctf-pwn 067~072题题解
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 1049
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 659
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2214
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值