SkYe231 Blog

Ruuuuust程序分析rust 语言写的程序，除了 canary 以外保护全开： rust 写的程序逆向分析会发现多了很多分支，通过动态调试辅助定位实现功能的函数。 在输入选择时中断程序，通过 gcc breakpoint 查看上层调用函数的地址，定位到 main 函数的地址为： 0x7C10 109 行开始就是 switch 判断进入对应功能的实现函数，switch 判断是输入值 +1 ： set_name 和 show_name 两个功能啥问题，name size 限制小于 0x10 ，输入函数在 235 行的 read 函数。show name 的时候用 memcpy 复制到另外一个栈变量，然后再进行输出。 talk 询问 size 时，限制不大于 0xf8 ： 输入函数用的还是 235 行 read ，向栈上写入 0xb8 已经造成溢出： 退出程序时： 利用思路rust 不能通过表调用函数，需要利用程序中的 call 片段。程序中有两种调用形式： 直接 call write 将 write 地址写入寄存器，然后 call 寄存器 栈溢出构造出一个 rea ...

notebookadd 构造固定大小 0x108 的堆块，用下一个堆块的 prev_size 来构造链表，全局标志位记录链头的地址。问题在于 free 的没有重新调整找个链表的结构，依然保持着相同的链表结构。利用 show 可以将整个链表打印出来，需要是要调整全局指针和 unsortedbin 的关系，因为 free 进入unsortedbin 之后，下个堆的 prev_size 会被修改为 0x110 ，导致 show 的时候地址不可读而报错退出。 EXP12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758from pwn import *context.log_level = 'debug'#p = process("./chall")p = process("./chall", env={"LD_PRELOAD":"./ ...

Pwn_checkinglibc 2.32 影响不大，没有涉及相关的防护措施，也给了 ld ，更好模拟远程换下加载方式： 1p = process(["./ld-2.32.so", "./pwn"], env={"LD_PRELOAD":"./libc.so.6"}) 开局给了 text 段的地址，PIE 等于没开。然后可以想 bss 段写入非常长字符串，这里写入的应该是 ropchain ，因为这段空间没有执行权限。接着就是有一个栈溢出，溢出长度刚好覆盖 rip ，结合前面往 bss 段写入内容，判断是栈迁移。 elf 中没有足够的函数和 gadget ，决定第一步先用 puts 泄露出 libc 基地址，然后写入第二次的 ropchain ，设想构造之前遇到过的栈迁移的结构： 1234payload = 'a'*0x800#'a'*(0x800-8)+p64(bss+0x840-8)payload += p64(pop_rdi_ret)+ ...

特征标志 仅存在 off by null 漏洞 不能申请大于 fastbin 的堆块（可以申请也能用这种方法） 如果能申请大于 fastbin 的堆块，申请 0x101 覆盖成 0x100 并控制 prev_size ，就能向低地址的堆块合并 存在 scanf （或其他将 fastbin 放置到 unsortedbin 的途径） 单纯 offbynull 无法在 fastbin 中利用，需要结合 unsortedbin 适用glibc版本无论有无 tcache ，都能适用。 存在 tcache 则需要先将对应 size 填满，才能放入 fastbin 。 攻击效果造成堆重叠（chunk extend），进而控制各类 bin 中的指针，完成 getshell 原理难点在于：fastbin 堆块的 size 长度为 1 个字节（如：0xf0），如果 offbynull 覆盖 prev_inuse 时，会将整个 size 覆盖为 0x00 ，而这会引起报错。 解决思路： 利用 unsortedbin 形成时，会将其所在的前一个（高地址）非 topchunk 的堆块 prev_siz ...

iNote漏洞点edit 功能当写入 chunk size 长度的数据时，会造成 off by null 思路题目基于 libc2.27 ，仅有 off by null 一个漏洞。 填满 tcache 之后，将堆释放到 fastbin ，输入长字符串利用 scanf 触发 malloc 大堆块将 fastbin 整理到 unsortedbin ，泄露出 libc 地址 利用 offbynull 向前unlink合并将 prev_inuse 控制为 0 ，结合伪造 header 、offbynull 向后unlink制造堆重叠 输入长字符串利用 scanf 触发 malloc_consolidate ： 1234567891011121314151617181920#step0:unsortedbin泄露libc地址for i in range(8): add(i,0x78)add(8,0x58)#后面offbynull构造0x110add(9,0x20)#后面offbynull构造0x110for i in list(range(8)): delete(i)p.se ...

coverMain 函数有一个任意地址写入 1 字节漏洞： 同时程序留有后门函数： 利用任意地址写入一字节，修改 puts plt 表 jmp 部分汇编，跳转到 system 函数： EXP123456789101112131415161718192021from pwn import *context.log_level='debug'context.terminal=['tmux','sp','-h']# p = process("./pwn")p = remote("118.190.62.234",12435)elf = ELF("./pwn")libc = ELF("/lib/i386-linux-gnu/libc.so.6")# gdb.attach(p,"b *0x0804875D")# raw_input()p.recvuntil("Try use a bullet to pw ...

做题目遇到的两种 eof 信号需求情况： 发送 eof 之后，后续不需要继续输入（vnctf-White-Give-Flag） 发送 eof 之后，后续还需要继续输入（mtctf-blind） eof 发送后继续输入不用 mtctf-blind 做例子，因为利用 eof 绕过第一层之后，由于题目其他方面而无法 getshell ，用一个 demo 例子（来源）代替： 1234567891011121314#include <stdio.h>#include <stdlib.h>#include <string.h>int main(void) { char buf[24]; while(1) { if(read(0,buf,16)==0) { break; } } read(0,buf,1000); return 0;} 题目要求第一个 read 返回值为 0 ，也就是输入字符串长度为 0 ，才能到达下面的 read 栈溢出漏洞。 ...

baby_focalglibc 2.31 ，没有 PIE ，没有输出功能，开沙盒的堆溢出： 没有输出功能思路基本都是攻击 stdout 泄露出 libc 地址，这条题目分配函数用的是 calloc ，相当于没有 tcache 存在的，攻击思路和 glibc 2.23 一样。然后就是利用 free_hook 栈迁移到堆上的 orw 。 思路 填满 tcache 之后，利用堆溢出形成堆重叠，形成两个指向同一个地址的指针。注意需要在第一个 unsortedbin 前面布置一个堆，用来修改 size 来绕过保护。 两个同一地址的指针，在 fastbin 写入 main_arena_xx 地址，爆破 1/16 到 stdout 上方，利用错位构造出符合 fastbin 的 size 位。 这篇文章末尾中有提及：http://blog.eonew.cn/archives/1190 修复 unsortedbin 恢复分配释放功能。利用堆溢出劫持 fastbin fd 指针将堆分配到堆指针数组（需要提前布置 size 绕过保护），实现任意地址写。 将 free_hook 劫持为 puts ...

5cef23f373e591f73b0780f44e533ed0d3ed819ed94539aacbd49d448d83d203c86138188432ed081fb96647b11f4e3a368dbff21a107c0bf56a84e883b9e9e33008f6937bc89ddf2c43515884639c17b16be8fc8d7c60ab3918a7666f8afbdfd6ef22afa6448ec5230e4cbdb205b443dc1dce78bc1f81489eb2b8689922cc7ffcfa01b6870f03609a33ebed6664c0c9c091c5067672323ad3d5093313f6da15edc0464f67f35418be11e4d2bd27518f430de355636dfb2ad3ea81d4b2c0892aaa2a5f82c5966cbfdc30f29fb4152022511dae302e9ee3fc12b9589ca31fd55efaf2500ada4f88ae175f93a3366819c72dbf1cc7ddf26ebfa ...

两个题目都是无输出堆题，最近一次比赛在 nepctf 遇到：https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述：https://www.jianshu.com/p/fe28639e406e BabyNote题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF ： 程序没有输出函数，倒是有一个提示的函数 gift 函数，输出堆地址最低两个字节，没用明白，到最后也不关他的事情。 思路： 利用 tcache double 和 scanf 输出长字符串触发 malloc_consolidate 获取 main_arena 地址 爆破倒数第四个数字，将堆分配到 stdout 结构体上，修改 flag 和 write_base 地址泄露出 libc 地址 利用 tcache dup get shell 遇到的问题就是直接之前 libc 2.23 的 payload 去打的话没有回显出 libc 地址，原来的 payload ： 1p64(0x0FBAD1887) +p64 ...