BUUCTF qwb2018_opm

最新推荐文章于 2023-06-27 12:08:05 发布
最新推荐文章于 2023-06-27 12:08:05 发布
阅读量337 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45966329/article/details/114486566
版权

参考了这位师傅的writeup

基础知识
(1)首先要知道用gets()读取数据时,是读不到换行符,读取的换行符会被转换为null值。
(2)程序系统函数的地址的高位字节是一样的,只有低位不同

查看保护
发现可以修改got表查看保护 发现可以修改got表

漏洞
add函数中的gets函数存在栈溢出。add函数中有两个gets函数,都可以用来修改存储在栈上的结构体指针。
细节如下:
(1)(此时还不能修改存储在栈上的指向结构体的堆指针)add函数先为结构体申请堆地址,然后在结构体里写入了输出函数的地址
(2)调用gets函数读入name,此时就可以修改存储在栈上的指向结构体的堆指针,并使程序将存储name的堆地址和name的长度写入被修改后的结构体的指针指向的位置
(3)再次调用gets函数写入punch时也可以覆盖一次结构体的指针,并以这次的修改的指针调用输出函数

利用如下

构造堆布局
(1)需要将堆布局的地址抬到0x…00xx(需要进行多次几次),构造堆布局的代码如下:

	add(0x70*'a',20)
	add(0x70*'b',20)
	add(0x20*'c',20)
	add(0x70*'d',20)

代码不唯一,只要能将堆布局抬到0x…00xx即可
进行完堆布局后,离topchunk最近的一个结构体和该结构体的name区域的堆地址分别是0x…0030 和0x…0060

泄露heap地址
这时就可以利用栈溢出漏洞修改结构体指针了

add(0x80*'e'+'\x60','1'*0x80+'\x30')
io.recvuntil('dddddddd')
heap_addr1=u64(io.recv(6).ljust(8,'\x00'))
heap_addr2=heap_addr1-0x2b0
io.success("heap_addr2:0x%x" % heap_addr2)

此时将新申请的结构体的存放name的堆指针写入到了0x…0068,也就是上一个结构体的存放name的区域,然后再将栈上的结构体指针改为0x…0030,也就是上一个结构体的指针,这样就可以利用上一个结构体泄露heap的地址

泄露代码段的地址和strlen函数的地址
因为已经泄露了heap的地址,所以我们可以在堆的可写区域伪造一个结构体,先泄露代码段的基址,但要注意不要覆盖topchunk的size域,利用第二个gets函数将topchunk的size域重新写入即写入60961(根据本地的环境调试出来的)

function_addr=heap_addr2&
最低0.47元/天 解锁文章
夜行-书生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF qwb2018_slient2
weixin_45966329的博客
03-06 215
BUUCTF qwb2018_slient2 1、该题在BUUCTF上的环境是2.27版本,所以相对来说更加的容易了 2、只需要利用double free 使用tcache attach攻击free函数的got表的地址 3、然后在free的got表中写入sysytem函数的plt表地址 4、再free掉一个写入/bin/sh的chunk即可 from pwn import * context(os='linux', arch='amd64',log_level='debug') io=remote("nod
[BUUCTF-pwn] qwb2018_opm
weixin_52640415的博客
01-17 2077
我讨厌爆破 只有add没有free,但是add中用了gets,很明显是字符串溢出。但是这个溢出不大好利用,因为后边带个固定的\0结尾。 这样就需要堆块建在一个特殊位置0xXXXXX00XX这时候可以通过溢出控制最后一字节而不影响前边数据。由于堆块都是以000结尾,所以需要爆破半个字节。 思路: 先建几个块使一个块建在00XX的位置(建两个0x70后第3个块正好建在0030+0060,正常是建到?0XX的位置,前边那个0是爆破得到的) 再建块时先溢出到v6,将其指向前一个块的数据块(0060)这时会
强网杯 2018 opm
Bill
05-23 1157
强网杯 2018 opm 前言     这篇WP是强网杯过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中不能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
BUUCTF笔记之Web系列部分WriteUp(一)
克格莫(有需要的私信)
04-29 942
1、[极客大挑战 2019]EasySQL
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 8144
BUUCTF题目Misc部分wp(持续更新)
qwb2018_core kernel_rop
令则
02-14 521
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
Matplotlib.zip_QWB_dssz_matplotlib
07-14
Matplotlib的官方文档,开发必备,强烈推荐
2019强网杯部分writeup
Sea_Sand息禅
06-04 5593
Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下网站情况: 是一个注册可登录的界面,登陆之后可以上传图片,一个账号只能上传一次。 扫一下后台目录,发现upload是泄露的,www.tar.gz是泄露的。 www.tar.gz下载下来是网站的源码,upload则是我们上传的文件,找到上传文件的源码: &lt...
BUUCTF笔记之Crypto部分WriteUp(一)
克格莫(有需要的私信)
05-08 1371
1、RSA1 直接上代码: import gmpy2 as gp p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 12640674973996472769176047937170883420927050821480010581
BUUCTF之MISC(持续更新)
12-21
写在前面:这两天初接触ctf。先从最简单的杂项做起。之前看了杂项的教程也听了课,基本没怎么看答案。于是出现了好多问题,边做题边解决问题。。虽然这样对于深入学习不太好但是对于特别懒的我还挺喜欢这样的- -有几次真的心态崩溃。写一个记录贴。kali真的是个好东西。。 解决了的问题: kali忘了密码怎么办 kali的vmroots兼容性问题与如何更新源 php的基础语法 wenhex的使用方法 kali的基本工具了解 签到题 睡醒后做的第一个签到题,我可能脑子还在梦里,没有看见那么大的一个flag。 金三胖(帧隐藏问题) 一个gif图片 用stdeslove打开后用FB帧浏览器分离帧。最开始分离
Bugku CTF-Misc部分习题Write Up
soul_in_umbrella的博客
03-14 146
作者还是CTF菜鸟,为了学习写一写Write up,还望各位大佬指教。
BUUCTF Crypto [大帝的密码武器] writeup题解
最新发布
qq_44611153的博客
06-27 283
然后对密文ComeChina用密钥13进行解密如果超出z就减去26让其回到A-z范围内即可得到答案。观察所有数据,发现单词security是有特殊含义的,这样就得到密钥为13。
buuctf-misc】--writeup
hello word的博客
01-06 2516
藏藏藏 binwalk查看隐藏文件: 有一个zip文件,分离:foremost 压缩包里有个福利.docx,扫描获得flag。 ezmisc 更改图片的高度即可。 把MRCTF换成flag提交。 你有没有好好看网课? 给了两个加密的zip,flag2.zip,flag3.zip flag2解密不出来,flag3可以跑出来。 flag3解密出来是一个docx和一个mp4。 flag3应该就是找到flag2的密码的关键。 然而,520711
BUUCTF WEB writeup(持续更新)
zjnu_y3s的博客
09-24 817
BUUCTF WEB(持续更新) 1、Warmup 打开题目链接,得到一张图片,如下图: 此时先想到看这个网页的源代码,输入source.php即可得到源代码,如下图: 进入php代码审计,粗略看一下可以发现有file,所以我们要想办法得到file,首先先看与file有关的代码块: 看到中间发现需要前面创建的函数,所以我们返回去进行前面代码的审计,在白名单处能看到有两个文件,一个source.php、一个hint.php,我们先打开hint.php,可以看到如下字符: 暂时不知道是干什么用的,
BUUCTF平台web writeup
a370793934的专栏
11-28 1548
[HCTF 2018]WarmUp 首先f12查看源码,发现一个hint: 于是访问source.php,得到审计的源代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) /* ...
BugkuCTF Crypto wirte up
酉酉的博客
07-18 1463
  1.滴答~滴 (1)思路:很简单,一眼看出是摩斯密码,直接用工具解码得到flag 解密工具:CTFCrakTools 2.聪明的小羊 (1)思路:提示当中看到栅栏就想起栅栏密码,2个栅栏解密,得到flag 解密地址:http://tool.bugku.com/jiemi/ 3.ok (1)思路:直接用Ook解密,得到flag 解密地址https://ww...
BUUCTF笔记之Web系列部分WriteUp(四)
热门推荐
克格莫(有需要的私信)
06-24 2万+
1.[BJDCTF2020]Mark loves cat dirb扫描目录发现.git泄露。 githack获取源码 <?php $flag = file_get_contents('/flag'); //HTML代码太多了,人工删除 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($
BUUCTF 基础破解 writeup
zhangzhaolin12的博客
10-10 257
打开后是一个加密的压缩包,很显然题目中说了密码是一个四位数字,所以可以使用暴力破解的方法。 然后解压借的到了flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值