ciscn_2019_en_3

最新推荐文章于 2024-07-17 16:32:20 发布
最新推荐文章于 2024-07-17 16:32:20 发布
阅读量445 收藏
点赞数
分类专栏: Pwn Heap 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fayinq/article/details/123491388
版权

ciscn_2019_en_3

首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。

在这里插入图片描述

函数分析:

  • Func_init():

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mZLlkRAB-1647271235325)(F:\MarkDownS\HEAP\ciscn_2019_en_3\ciscn_2019_en_3\image-20220314230635223.png)]

  • Func_Execute():

在这里插入图片描述
在这里插入图片描述

这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了

  • Func_ADD():
    在这里插入图片描述

  • Func_Free():
    在这里插入图片描述

    FREE的地方很明显,他是从bss上存了一个地址,然后用那个地方free,并且没有将值清零,所以说有很明显的Double_Free

思路分析:

既然说这道题目,已经有了很明显的Double_Free,我们的任务就只有一个了,就是寻找到到libc_base,然后任意地址写,就完事了。但是这个地方如果不看前面的puts函数,只注意后面的堆,那是没有办法做出来的,一开始这里碰壁了很久,就是泄露不出来。然后看了其他师傅的WP发现有个puts函数在这,输入name之后就能很简单的得到一个地址
在这里插入图片描述

然后就按照一般uaf的做法写出来就ok了

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level =
最低0.47元/天 解锁文章
fayinq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn_2019_ne_5
m0_52231248的博客
11-15 325
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
ciscn_2019_en_3【write up】
m0_73756460的博客
04-13 81
buu刷题 ciscn_2019_en_3【write up】
scada_5.8.3_full_en
08-02
scada_5.8.3_full_en
simocode_en
03-16
simocode_en.pdf 介绍了关于simocode_en的详细说明,提供运动控制的技术资料的下载。
罗斯蒙特_1199EN
03-18
介绍了关于罗斯蒙特_1199EN的详细说明,提供罗斯蒙特的技术资料的下载。
e845_Manual_01_2019_EN_manual_
09-30
本手册("e845_Manual_01_2019_EN_manual_")详细介绍了该产品的各项功能、使用方法以及维护技巧,旨在帮助用户充分发挥这款话筒的潜力,提升录音和现场表演的质量。 1. **产品特性** Sennheiser e845 的核心特性...
ciscn_2019_en_3 Writeup
Calllin的博客
05-09 338
前提与思路 程序逻辑开始处,有两处输入信息然后立即输出进行确认的交互。经调试,但由于缓冲区长度设置问题,第二处输入与程序setbuffer+231的地址在栈中相连。 当输入的字符串末的\x00被截断时,可以引导程序输出setbuffer+231在内存中的地址。 本题部署于Ubuntu GLIBC 2.27-3ubuntu1的环境下。Tcache中的chunk可能可以被double free。使得获得任意区域内存改写能力。 当__hook_free在内存中的地址被改写为one_gadget,执行
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1783
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_ne_3
seaaseesa的博客
05-07 428
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
【BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1182
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 265
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
windows和linux的等保加固测评的经验分享
最新发布
2301_80115097的博客
07-17 1172
一头等保加固测评的牛马,需要能做到一下午测评n个服务器接下来就讲讲如何当一头xxxxxxxxx===》严肃的等保测评加固的经验分享
vi_attr_send_end_en
12-17
vi_attr_send_end_en是指在视觉识别方面的属性发送结束。在计算机视觉领域,vi_attr_send_end_en表示当一个视觉识别系统完成了对特定对象或场景的识别和分析,并且将相应的属性信息发送结束。这意味着系统已经提取出了对象或场景的关键属性,并且将这些属性信息进行了发送或保存,以便后续的处理和应用。 vi_attr_send_end_en的出现标志着视觉识别过程的完成,系统可以根据发送结束的属性信息,进行各种应用,比如目标跟踪、图像分割、智能驾驶、安防监控等。这种属性信息可以包括对象的位置、轮廓、颜色、纹理等特征,以及场景的光照条件、环境背景等属性。 vi_attr_send_end_en的应用非常广泛,它可以帮助机器人识别和抓取特定物体,协助智能汽车进行道路识别和导航,支持智能安防系统进行异常行为检测和预警,还可以帮助医疗影像系统对疾病进行诊断和分析等等。 总之,vi_attr_send_end_en代表了对视觉识别过程的收尾,是计算机视觉领域中一个非常重要的环节,对于提高视觉识别系统的精度和效率,以及推动人工智能技术的发展都有着重要的意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值