BUUOJ PWN 61-80

最新推荐文章于 2024-02-15 20:42:52 发布
最新推荐文章于 2024-02-15 20:42:52 发布
阅读量244 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53217892/article/details/111307860
版权
本文详细解析了多个PWN挑战,包括栈迁移、ROP、格式化字符串漏洞利用等技术,涵盖多个CTF比赛的题目,如gyctf、V&N2020、BJDCTF等。
摘要由CSDN通过智能技术生成

目录

61、gyctf_2020_borrowstack 栈迁移

62、[V&N2020 公开赛]warmup

63、inndy_rop

64、ciscn_2019_final_3

65、others_babystack

66、axb_2019_fmt32格式化字符串

67、pwnable_start

68、hitcontraining_magicheap

69、[V&N2020 公开赛]babybabypwn

70、[BJDCTF 2nd]secret

71、mrctf2020_shellcode

72、hitcontraining_heapcreator  off by one

73、wustctf2020_getshell_2

74、ciscn_2019_s_4

75、0ctf_2017_babyheap

76、wustctf2020_closed

77、mrctf2020_easyoverflow

78、ciscn_2019_es_7

79、hitcontraining_bamboobox

80、ciscn_2019_es_1

61、gyctf_2020_borrowstack 栈迁移

第一个payload 不能写成sendline  不知道为啥

62、[V&N2020 公开赛]warmup

 

63、inndy_rop

打开后读条慢,左边一大堆函数,静态编译,主函数看不到伪代码,看汇编也不难,里面就一个overflow函数,里面一个gets,使用工具 ROPgadget --binary    --ropchain

64、ciscn_2019_final_3

C++  堆,还行能看懂,只有增加删除两个功能,free后没0,看size应该是fastbin,还输出了malloc后的地址

ubuntu18,有tcache了

 

 

65、others_babystack

有canary,canary位置在ebp-8,菜单要选3退出后才能溢出,puts遇到00结束,canary以00结尾,接收要右对齐

66、axb_2019_fmt32格式化字符串

这道题挺好的,很多小细节要注意,看了WP做完这道题感觉对格式化字符串又有

最低0.47元/天 解锁文章
2h4ox1n9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-[ACTF2020 新生赛]Exec1
Monica的博客
09-11 3862
目录 题目: 分析: 知识点: 方法: 方法1:;前面和后面命令都要执行,无论前面真假 方法2:|(就是按位或),直接执行|后面的语句 方法3:||如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 方法4:&前面和后面命令都要执行,无论前面真假 方法5:&&如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 注意: 题目: 分析: 通过...
buuoj Exec writeup
m0_73605862的博客
05-08 76
Step1:发现题目是要我们ping,我们尝试ping一下127.0.0.1,猜测是应用ping命令。Step3:查看根目录,输入指令 0|ls /,发现了一个名为flag的文件。Step4:查看flag文件,输入指令 0|cat /flag。【来源】(buuoj)https://buuoj.cn/【题目】[ACTF2020 新生赛]Exec。Step2:输入0|ls指令,发现了文件。【思路】操作系统的指令。
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1285
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 345
buu刷题】ciscn_2019_final_3 write up
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
最新发布
2301_79326813的博客
02-15 412
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 995
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 306
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1073
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1327
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1501
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 414
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
[BUUCTF011][ACTF2020 新生赛]Exec 1
m0_52674595的博客
12-03 260
[BUUCTF011] [ACTF2020 新生赛]Exec 1 ping地址 第一反应当然是Ping127.0.0.1 但是什么都没有得到 尝试能不能查找到可能包含flag 的flag文件 127.0.0.1;cat /flag 结果 直接 得到了flag 阿这 有点不可思议啊!!! 去网上看了看大家的wp 发现可以 一级一级的去寻找flag文件。 我们先来查看一下这里面的所有文件, 127.0.0.1|ls ../../../ 然后得到 然后再去cat flag即可 ...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值