BUUCTF qwb2018_slient2

最新推荐文章于 2024-02-06 21:27:21 发布

夜行-书生

最新推荐文章于 2024-02-06 21:27:21 发布

阅读量217

点赞数

本文链接：https://blog.csdn.net/weixin_45966329/article/details/114452471

版权

本文介绍了在BUUCTF qwb2018_slient2挑战中，如何利用2.27版本环境的特性进行double free攻击，通过修改free函数的got表以插入system函数的plt表地址，最终实现执行/bin/sh的目标。

摘要由CSDN通过智能技术生成

BUUCTF qwb2018_slient2

1、该题在BUUCTF上的环境是2.27版本，所以相对来说更加的容易了
2、只需要利用double free 使用tcache attach攻击free函数的got表的地址
3、然后在free的got表中写入sysytem函数的plt表地址
4、再free掉一个写入/bin/sh的chunk即可

from pwn import *
context(os='linux', arch='amd64',log_level='debug')
io=remote("node3.buuoj.cn",29992)
#io=process("silent2")
#libc=ELF("libc-2.27.so")
elf=ELF

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

夜行-书生

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

BUUCTF qwb2018_opm

weixin_45966329的博客

03-07

342

参考了这位师傅的writeup 基础知识：（1）首先要知道用gets()读取数据时，是读不到换行符,读取的换行符会被转换为null值。（2）程序系统函数的地址的高位字节是一样的，只有低位不同查看保护：查看保护发现可以修改got表漏洞 add函数中的gets函数存在栈溢出。add函数中有两个gets函数，都可以用来修改存储在栈上的结构体指针。细节如下：（1）（此时还不能修改存储在栈上的指向结构体的堆指针）add函数先为结构体申请堆地址，然后在结构体里写入了输出函数的地址（2）调用gets函数

2018年强网杯之silent2

极目楚天舒的博客

04-23

664

0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块，将堆地址放入0x6020c0的bss段内。Free函数释放堆块，但是没有将指针清零，导致doublefree。Edit函数修改堆块内容，修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got表进行写，很自然联想到用system函数地址覆盖strlen_got_plt，这样当调用E...

参与评论您还未登录，请先登录后发表或查看评论

2018强网杯silent2

snowleopard_bin的博客

09-26

613

看了雪论坛里一位大佬的writeup，感到一丝迷茫，遂另起炉灶，提供另一种类似的做法，我多加了解释，应该会更加通俗易懂。发现NX、Canary都开了，但Partial RELRO说明可以修改got表，PIE说明没有地址随机化，就可以直接利用IDA中看到的地址，不需要计算libc偏移了先看main函数 case1:功能就是create啦注意到*&s[8*i] = v...

buuoj Pwn writeup 266-270

yongbaoii的博客

09-01

195

266 pwnable_silverbullet create 创造个什么武器，然后武器描述，然后长度是它的什么power。 power_up 那么显然我刚刚如果通过’\x00’的截断，power整成0，那么我这里可以直接溢出。 beat exp from pwn import * context.log_level = "DEBUG" debug = 0 if debug: p = process("./silver_bullet") libc = ELF('/lib/i386-li

BUUCTF-PWN刷题记录-4

weixin_44145820的博客

04-10

1100

目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0

qwb2018_core kernel_rop

令则

02-14

525

qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用年轻人的第一个内核题目。环境搭建基础解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format

Matplotlib.zip_QWB_dssz_matplotlib

07-14

Matplotlib的官方文档，开发必备，强烈推荐

2019强网杯部分writeup

Sea_Sand息禅

06-04

5613

Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下网站情况：是一个注册可登录的界面，登陆之后可以上传图片，一个账号只能上传一次。扫一下后台目录，发现upload是泄露的，www.tar.gz是泄露的。 www.tar.gz下载下来是网站的源码，upload则是我们上传的文件，找到上传文件的源码： &lt...

BUUCTF-PWN刷题记录-5（Tcache）

weixin_44145820的博客

04-13

1466

目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能限制了申请的大小，最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空，可以double free 题目分析差不多就这样，下面是漏洞利用：先申请一个大小为0x78的heap[0],记录下返回地...

BUUCTF-PWN roarctf_2019_easyheap（double free， stdout重定向）

weixin_44145820的博客

04-23

791

这里写目录标题题目分析漏洞利用Exp 题目分析有添加，删除，展示三个主要功能，不过添加有次数限制，同时限制了申请大小，使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空，可以多次free show功能有条件限制，而且会把stdout关了添加和后门的次数后门函数可以进行calloc和free，同样没有置空，但是后门函数的次数限制逻辑有问题，即使为0还会再...

[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)

最新发布

2301_79326813的博客

02-06

317

又是堆题，查看保护再看ida大致就是alloc创建堆块，free释放堆块，fill填充堆块，以及一个getshell的函数，但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。

BUUCTF-PWN刷题记录-22

weixin_44145820的博客

05-18

690

目录ciscn_2019_n_2（double free） ciscn_2019_n_2（double free） delete的时候有一个double free漏洞利用思路：先用一个double free把0x602060（chunklist）申请出来，这样我们就能先修改里面的指针了，先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con

buuctf ACTF_2019_message(tcache bin dup / fastbin dup)

qq_36918532的博客

04-19

788

有些图片显示不出来，我懒的在复制粘贴了，可以直接去我笔记里面看网上的这道题的，大部分的exp都是写的16.04，使用的fastbin double free，但是在buuctf上根本打不通，因为人家都要求了是18.04，，所以这里写了两个版本（均可以打通） buuctf ACTF_2019_message 安全检查：FULL RELRO（got表不可写），GS，NX都开了菜单题（堆的）增加函数：判断当前堆指针是否为空，为空就创建删除函数：一是没有判断该地方是否有值，而是没有将堆指针置空，可能出

buuctf_roarctf_2019_easyheap离谱的一题

qq_43766802的博客

09-29

655

首先例行公事，用checksec检查一下函数的保护措施，发现除了pie保护全开，但此题不需要泄漏程序加载地址，是个好事查看一下函数逻辑，程序一开始我们可以向内存区域的某一块输入数据，接下来就是heap的经典菜单栏，add函数允许我们创建任意大小的buf，但只有一个指针，free时没有删除指针，可以double free，当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr，这个ptr其实没什么用，主要用来给自定义大小的buf double free做道具用，show函数只有当

BUUCTF-PWN刷题记录-12

weixin_44145820的博客

04-23

754

ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会有system的got表项一个可行思路是把printf的GOT改为system@plt，然后输入/bin/sh，但是考虑到只有一次机会就比较困难所以我们需要一个能让main多次执行的办法这时我们只要把main的地址填入finit_array就能无限循环main函数了简单介绍一...

2018强网杯部分writeup

snowleopard_bin的博客

09-20

2461

0x00 签到题操作内容：打开题目就看到flag FLAG值： flag{welcome_to_qwb} 0x01 Welcome 操作内容： |拿到一张图片：放进Stegsolve中，一点点偏移图片，慢慢发现有字，offset到100时就能清楚看到得到flag FLAG值： QWB{W3lc0me} 0x02 web签到操作内容：...

BUUCTF ciscn_2019_es_1

doudoudedi

01-04

917

我本地直接用fastbin attack直接能打通但是远程似乎有问题思路首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...

BUUCTF【pwn】解题记录（4-6页持续更新中）

Assassin

08-06

2167

一起继续刷BUUCTF把~

第二届强网杯网络安全挑战赛Writeup

通过使用stegsolve工具，设置offset为100，成功揭示了隐藏的FLAG值：QWB{W3lc0me}。 2. **0x01签到**：签到关卡通常较为简单，只需按照提示操作即可。这关可能只是要求参赛者阅读并理解说明，FLAG值为：flag{...