CVE-2018-5767
固件下载连接
1 | https://drivers.softpedia.com/dyn-postdownload.php/d27e8410d32cd9de63a3506c47ded1bc/61ff85c5/75eb7/4/1 |
虚拟机环境
ubuntu 18
binwalk 解包
1 | binwalk -Me US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar |
使用 qumu 启动 ./bin/httpd 进行固件模拟
1 | 打开到此处 _US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar.extracted |
程序卡在了 Welcome to …
1 | 使用ida打开 |
如果 R3 > 0 则跳转loc_2CFA8,会导致无限循环
1 | loc_2CF84 |
使用Keypatch 修改 mov R3,R0 为mov R3,#1,让其可以跳出循环,并在Edit–>Patch program–>Apply patches to 导出修改后的文件,将其修改后的httpd 将其替换(记得替换掉后 chmod 777 *给权限)
但是后续模拟固件还是有报错,继续分析 ida
分析当loc_2CF84 最后跳转到loc_2CFA8 后还有一次判断CMP R3, #0,还是使用Keypatch 修改进行修改mov R3,R0 为mov R3,#1 使其不进入左边
再次执行,发现 ip 是从错误的
发现是在get_eth_name的外部函数引起的,使用命令搜索
1 | grep -r "get_eth_name" | grep "匹配到二进制文件" |
挂起虚拟网卡,再重新启动
首先使用 ifconfig -a 查看虚拟机使用的是那个网卡,我们使用ens33
1 | sudo apt install uml-utilities bridge-utils |
此时 IP 正常显示
漏洞实现
使用浏览器打开网页,显示无法访问
1 | cp -rf ./webroot_ro/* ./webroot/ |
成功进入
根据 POC可知溢出漏洞点位于R7WebsSecurityHandler函数中
通过 scanf 输入 password,s_ 大小为 128,可以进行溢出
我们首先要通过此 if 才能进入到后续的 scanf,scanf 就是这次的漏洞点
password 是用户可控的,它是 http 请求中 cookie 上的一个字段,也是 s_1
s_ 大小为 128
根据strncmp 判断只需要让我们的请求中包含”/goform/xxx”就可以靠近漏洞点
我们通过访问 ip/goform/anza,通过burpsuite 进行抓包,通过NATBypass 将虚拟机 ip 内网穿透出去
我们增加Cookie 进行发送,程序最后会出现报错
相关推荐
2025-07-25
ctfshow43-67
1-pwn43 ida打开文件后发现有明显的溢出点 有systeam函数可以使用,但是没用/bin/sh,尝试使用libc无法成功 gdb vmmap可以查看到程序有一段可写的部分,可以使用这一部分去写入/bin/sh 使用objdump -d -j .plt pwn命令可以查看到程序的函数plt地址 12345678910111213141516171819202122232425from pwn import * #引用pwntools库context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('pwn.challenge.ctf.show',28282)#配置远程连接 28282else: p=process("pwn")#配置本地连接:#gdb.attach(p)main_add=0x080487AFsystem=0x804845...
2025-07-25
御网杯
ez_pwn 关闭标准输出流 溢出点 考虑使用wirte(2, got, 0x200) 程序 gadget 有 rdi 和 rsi,rdx 调试后发现没有被修改过还是 200,就无需修改,泄露 write 的真实地址,算出偏移,即可 获得 sh 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1...
2025-08-19
CTFshow PWN160
libc 下载链接:https://files.buuoj.cn/files/85ee93d92fc553f78f195a133690eef3/libc-2.23.so 简单的增删改查 在 add 中,我们输入 size 创建的 chunk 为 s,固定生成的一个 chunk 为 v3 s 在 v3 内存的上方,后续将 s 的 data 段地址赋值给 v3data 段 将 v3 放入 chunk 管理数组 chunk_s 中 edit 函数中有验证 v3->s+v2 的值于 s 的 size 做比较,如果我们在 v3 和 s 之间添加 chunk 使其不连续即可绕过此检查 add 后的 chunk 如图所示 delete 函数中将 s 清空,未将 v3chunk 清空,存在 uaf,但是这题不用 uaf 也可以写 show 输出 s 和 v3 中的 nam 和 test edit 就是上面 add 中的修改 test 中使用的 目前我们的思路为: 使 s 和 v3 中有其他 chunk 存在,这样我们就可以绕过 edit 中的检测使其修改到别的 chunk 内...
2025-07-25
轩辕杯
轩辕杯
2025-08-19
CTFshow PWN162
此文章参考了: CTFshow PWN162 堆利用技巧大杂烩_ctfshow-pwn-162-CSDN博客 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc_libc泄露方式-CSDN博客 使用realloc函数来调整栈帧让one_gadget生效 - ZikH26 - 博客园 感谢师傅的讲解 本文章只描述了本地是操作是如何打通程序的,远程需要爆破出I0_2_1_stderr_ 的第四位 1/16 概率 本题使用了double_free,unsortedbin_attack 、_IO_2_1_stdout、house of spirit,UAF 经典的增删改查 add 后会有一个固定的 0x28 大小的 chunk,和一个自行输入 size 大小的 chunk,size 被限制大小,add 的 chunk 数量也被限制为 0x13,并且 s->data 为 inuse 此时的堆结构 show 是假函数,无法 show delete 函数中,if 检测 chunk_s+v1 实际上并不是inuse 的值,所以这边是一个假判...
2025-08-20
CTFshow PWN164
muea 中只有 add 和 delete add 中使用的是 realloc 什么是 realloc 呢? 可以参考如下文章 https://squarepants0.github.io/2020/11/18/2019-realloc-magic-realloc-yu-tcache/#toc-heading-2 简单来说就说 mallco 和 free 的结合 plus 版 1234567891011void *realloc(void *ptr, size_t size)# ptr=0 && size!=0# 视作mallco(size) 返回对应的地址# ptr!=0 && size==0# 视作free(ptr)#ptr!=0 && size!=0#当上一次mallco返回的ptr值的size > 现在需要申请的size,则会进行缩小,然后多余的进行free#当上一次mallco返回的ptr值的size < 现在需要申请的size,则会进行扩容#如果上一次mallco返回的ptr已经被free了,且 <...
评论
最新文章
![[2021 鹤城杯]easyecho](/img/22.jpg)
![[HNCTF 2022 WEEK4]ezheap](/img/17.jpg)
![[BJDCTF 2020]YDSneedGirlfriend](/img/8.jpg)
