BCTF2018 baby_arena wp

最新推荐文章于 2022-06-18 01:16:00 发布
原创 最新推荐文章于 2022-06-18 01:16:00 发布 · 300 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了一个名为Baby_Arena的CTF题目的漏洞分析过程。通过利用内存泄漏和缓冲区溢出,实现了任意地址写操作并最终获得了shell。详细步骤包括构造vtable指向特定函数、设置系统调用地址等。

在这里插入图片描述
保护开的并不多。

create
在这里插入图片描述puts阶段似乎是可以直接把libc泄露出来

在这里插入图片描述
size大小

能创建十个chunk

delete
在这里插入图片描述
正常释放。

没有清空chunk中的内容,所以我们可以通过create函数直接泄露libc。

还有个login函数
在这里插入图片描述

函数在输入名字的时候存在溢出,可以做到一个任意地址写一个比较大的数字。

那么我们的利用方法就是把该泄露的泄露之后,我们攻击global_max_fast,申请很大的chunk,释放挂在_IO_list_all上面,做一个FSOP。

要注意虽然好像原题目给的是2.23的libc,但是我打的是buu的环境,用的是2.27的libc,在FSOP上有差别。

1、为绕过_IO_all_lokcp中的检查进入到_IO_OVERFLOW,需构造
_mode <= 0
_IO_write_ptr > _IO_write_base

2、构造vtable = _IO_str_jumps - 0x8,使_IO_str_finish函数替代_IO_OVERFLOE函数,(因为_IO_str_finish在_IO_str_jumps中的偏移为0x10,而_IO_OVERFLOW在原vtable中的偏移为0x18)
3、构造fp -> _IO_buf_base作为参数
4、构造fp->flags & _IO_USER_BUF == 0
5、构造fp->_s._free_buffer为system或one_gadget (_free_buffer = fp + 0xe8)
6、调用_IO_flush_all_lokcp函数,触发(fp->_s._free_buffer) (fp->_IO_buf_base)
abort(如触发malloc报错时)
exit
从main函数返回

exp

#!/usr/bin/env python
# coding=utf-8
from pwn import *

context.log_level = 'debug'


#r = process('./baby_arena')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

r = remote("node4.buuoj.cn", 27899)
libc = ELF("./64/libc-2.27.so")

ti = lambda: r.interactive()
lg = lambda s: log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))

def create(size,note):
    r.recvuntil('exit\n')
    r
最低0.47元/天 解锁文章
BCTF—bilibili_2020安全挑战赛记录
afei001
12-24 395
目录 1.前言 2.页面后面是什么? 3.真正的秘密只有特殊的设备才能看到 4.密码是啥? 5.对不起权限不足~ 6.别人的秘密 7.结束亦是开始 8.前五题一键出flag脚本 1.前言 昨天是10月24号,国内行业内的人几乎都把这一天作为程序员的节日了。本来在B站上看Geekpwn比赛的我,突然发现B站也搞了一个安全挑战赛。ctf打的少没啥经验。 后来有人在github上说,这个整的就是NU1l的屠榜赛。人家Nu1l可是国内有名的CTF战队...
house-of-force-bctf2016_bcloud
csdn546229768的博客
01-28 1136
题目:bctf2016_bcloud 不得不说这题细节做的真好,如果不认真看还真找不到利用点 保护 分析 main函数: add函数: 因为在malloc是加上了4所以通过这里off-by-null行不通 dele、edit函数没有常见漏洞 重要函数 0x80487A1函数: 0x804868D函数: 注意看我注释上面的序号 当我输入长度为0x40时,经过read函数会在后面填充一个null字节,但是因为原本这块栈空间本来就经过了初始化全是null,所以并不会对数据造成影响,到了第二步malloc
BCTF 2017 WEB WriteUp
Bendawang's Blog
04-17 5017
BCTF 2017 WEB WriteUp
large bin attack & house of strom
seaaseesa的博客
06-12 1397
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3843
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
DEFCON CHINA&BCTF的一些随笔
郁离歌丶的博客
05-14 4085
萌新的第一次线下决赛,毫无意外的被打爆,打扰了我太菜了,告辞!下面记录一下这次的收获吧。靶场渗透这次靶场是打的真的爽,也学习了很多东西。从一个博客开始到服务器到内网最后拿域控权限,打的真的爽啊。这里有5个flag,我们在拿域控,靶场总共6个flag。然后最开始博客的服务器里面我早就发现了一个pwn,应该最后一个flag。唯一的遗憾是没时间了,mimikatz没升级,拿ms14-068打的时候缺少p...
ROIS_BCTF2017_Re_writeup
JasaLee的博客
04-19 1382
pingpong 刚刚过去的BCTF-2017有一道Mobile逆向题,下面放出我的解题思路 题目链接: https://pan.baidu.com/s/1boUKogv 密码: 9b52 拿到题目用JEB打开 得到两个比较有用的函数 public void onClick(View arg7) { if(MainActivity.this.tt % 2 == 1
【CTF解题】BCTF2018-houseofatum-Writeup题解
HBohan的博客
10-14 549
先把ld和Libc给换成题目给的 patchelf --set-interpreter ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/ld-2.26.so --replace-needed ./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc.so.6 ./glibc-all-in-one/libs/2.26- 0ubuntu2_amd64/libc-2.26.so houseofAtum 程序分析 这里只进行一些.
BCTF_Writeups
03-14
百度杯BCTF线上赛前8名队伍的Writeup,大家可以学习一下,推荐看217写的。
SWPU RE类第二题WP
_KaQqi的博客
11-02 401
这道题目满分刚好是100分。。。 程序有ASLR,用FFI去掉方便分析。 去掉以后,OD载入,F9运行,给GetWindowTextA下端点,然后输入一个注册码就可以断下。 F8单步回到004026A6处后,CM判断注册码的字节数,如果不是16个字节就返回。 删掉之前设置的所有断点,在004026BE处下一个断点。这样输入16个字节就可以断下了。 然后CM重新计算了注册码的长度
House of apple 一种新的glibc中IO攻击方法
pythonxxoo的博客
06-18 3149
目录* House of apple 一种新的glibc中IO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
IO_file结构、FSOP、house of orange总结
qq_39153421的博客
03-30 4078
占个坑 总结目录: IO_file相关结构 FSOP libc2.23利用方式 修改vtable libc2.24 添加check 利用io_str_jumps io_str_overflower io_str_finish io_buf_base scanf libc2.27 利用方式 例子:2018suctf note(libc2.24) clear_note(io_str_overflows、io_str_finish有一定几率失败) 参考文章 https://xz.aliyun.co
Bctf Zhongguancun分析
ling
03-26 1024
一、找溢出点 分析程序,程序对手机或者表都定义了一个如下的结构体,其中前4个字节为一个虚表指针。一共可以添加16次这样的结构体,都布局在堆中。 Struct item { +0dword vtable; +4 charname[32]; +36char description[80]; +116dword price;
RCTF2018 WP
1CHIG0的博客
05-24 1939
感觉自己好久更了。。最近看了RCTF的WEB题,感觉好多前端。。然而前端并不是很会,于是趁着这个机会稍稍补了一些前端知识。又跟着大佬的wp复现了一下,收获不少,总结一下。AMP参考了1、https://ctftime.org/writeup/101012、https://xz.aliyun.com/t/2347进入页面,首先根据提示可以给一个参数name,输入?name=ichigo得到我们得到了...
overflow知多少
dgk62408的博客
06-27 239
最近在研究OOCSS,当打开template.css阅读第一行时,震惊了,第一眼居然没看懂。。。。。。以下就是OOCSS下的template.css第一行代码: 1 2 .body{overflow:hidden; _overflow:visible; _zoom:1;} .main{overflow:hidden; _overflow:vis...
one_gadget 下载 安装 与使用
热门推荐
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7370
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 7298
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6253
尝试过很多解决方案之后无果 决定研究一下它的整个流程
BCTF挑战赛Writeups揭秘与分析
资源摘要信息:"BCTF-Writeups.rar是一个压缩文件包,包含了有关BCTF(Battle in CTf,即网络安全攻防竞赛)的详细攻略和解析文档。CTF(Capture The Flag)是一种信息安全竞赛,通常分为攻击和防守两个部分,旨在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值