巅峰极客pwn wp

最新推荐文章于 2024-11-26 17:26:33 发布
原创 最新推荐文章于 2024-11-26 17:26:33 发布 · 890 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #python #linux

Pwn

gift

程序保护全开

程序功能:

  • add:最多只能申请十次堆块,每次申请大小为0x60或0x100,往里写内容的时候是往user_data+0x10处写。

  • delete:有UAF

  • show:可泄露

  • bargain:可以用来控制fd。并且类型为int,比较类型也是有符号比较,所以可以减0x10范围内的数字,或者加int(4字节内)的数字。

因为这道题idx太少了,直接free掉7个chunk填满tcache_list不可行,所以我是通过bargain函数修改fd指针到一个fake_chunk,这个fake_chunk大小属于unsortedbin范围,且可通过add一次0x60大小堆块修改到下一个已被free的0x100大小tcache去改掉它的next指针。

这样的话不仅可以泄露unsorted bin 的fd,还可以顺带改掉下一个已经被free掉的tcache的fd,实现tcache_dup

ps:这里也有个洞不过尝试了一下不好利用,在add里面mode选择3,会跳过malloc直接read:

[5MX`)__4R4ZAT[~}C)K)KM

问题出在,远程libc不确定,我最先尝试的是glibc 2.31 9.9free_hook五个ogg都失败(one_gadget -l2可以查看更多ogg)。因为idx原因也打不了malloc_hook,我打exit_hook成功了。

尝试远程之后寄。

后来尝试了2.29和2.27,在2.27成功。

EXP:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/巅峰极客/gift/pwn')
libc = ELF('/mnt/hgfs/ubuntu/巅峰极客/gift/libc.so.6')
r = remote('101.200.85.91',44388)

def menu(choice):
    r.recvuntil(b"your choice:")
    r.sendline(str(choice))

def add(what,content):
    menu(2)
    r.recvuntil(b"your choice:")
    r.sendline(str(what))
    r.recvuntil(b"plz write your wish on your gift!")
    r.send(content)

def delete(idx):
    menu(3)
    r.
最低0.47元/天 解锁文章
2020巅峰极客wp
BIAUTUMN的博客
10-16 959
2020巅峰极客 巅峰极客是给开封市信网办做护网的时候打的比赛,所以比赛体验感并不好,简单写一下wp virus-re 代码分为三部分 以’-‘为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos(’-’) 以’-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x…的迷宫,从s->d。以第1点存储的顺序,决定迷宫的顺序。通过确定后面的字符串顺序,前面的数字也会被确定。
2022巅峰极客PWN
山高路远
09-01 634
在泄露出堆地址之后,修改fd指针,指向0x70堆块的前0x10位置,然后将堆块分配过去,进行修改0x70的fd指针。想要达成任意写,如果是修改fd,这题又只有在申请堆块时才可以进行写堆块,那么就得申请三次才能达成,在次数紧张的情况下,我又没想到有其他布局可以节省泄露地址使用的次数,就想到了可以通过劫持 tcache bin,修改上面的内容,只需要两次就可以做到任意地址写,节省了一次。两次刚好足够,一次填写地址,一次分配堆块达成任意写,这次就不要再用0x70分配,透支了两次,已经坏掉了。
巅峰极客2022wp
Pysnow's Blog
08-27 969
巅峰极客2022wp
极客巅峰第二场wp
weixin_30471065的博客
08-26 287
已经更新 地址:https://www.o2oxy.cn/1749.html 转载于:https://www.cnblogs.com/liang2580/p/9538319.html
[巅峰极客2023]wp复现
leekos的博客,分享web安全相关知识~
07-24 1148
简单的说,就是通过查询多个大的表,导致产生笛卡尔积,造成查询数量多,所以会产生延时的效果。没写出这题的原因,以为只能通过逃逸改变属性值,结果可以反序列化对象里的对象。都被过滤了,我们怎么才能够一边查询多表导致笛卡尔积,一边进行盲注呢?等等,普通的延时注入肯定不行,关键词都被ban了。对象的序列化字符串,由于对象成员变量的权限是。序列化后字符串的形式了,接下来我们只需要闭合。,这个是8进制的写法,然后编码之后就能转为。的字符,该字符不可见(也算作一个字符)可以重复14次,就逃逸出28个字符了,
极客巅峰
九层台
09-02 568
栗子下载https://github.com/tower111/software.git Antidbg 搜索字符串找不到关键点,也没有命名很明显的函数。 找导入表看了一下,有GetMessageA函数,跟踪看一下。 void __stdcall __noreturn StartAddress(LPVOID lpThreadParameter) { struct tagMSG Ms...
2024-巅峰极客 easyblind 分析 (1)
CoLin的pwn小屋
08-20 1437
2024-巅峰极客 easyblind 分析 (1) —— Linux 动态链接符号解析全流程详细介绍
ctfshow pwn wp
Chandra的学习之路
11-26 1255
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
[Litctf 2024] Pwn WP 全部题目
红叶的博客
06-03 1662
劫持 __malloc_hook 打 one_gadget。使用 realloc 调整栈帧。
巅峰极客(MISC)
weixin_33810006的博客
07-24 514
关于巅峰极客写一下wp吧 毕竟自己那么菜(留给以后的自己看吧QAQ) 这一篇主要是关于杂项的(不简单呀!自己太渣了) 第一题:签到题: 直接打开就可以看到答案:flag{the_greatest_geek} 下面是杂项的内容: warmup 用stegsolve.jar打开图片,Analyse→Data Extract,...
2019巅峰极客
qq_41509200的博客
10-20 624
1 2
2022巅峰极客WriteUp By EDISEC
qq_45603443的博客
08-29 2576
2022巅峰极客WriteUp By EDISEC
2019巅峰极客隐写
夜幕下的灯火阑珊的博客
11-29 467
题目为一张png图片 foremost分离得到一个docx文件和一个加密压缩包 docx文件分离可得flag.xml 打开flag.xml,一片空白,全选后发现有东西,应该是隐藏文字,复制下来用sublime打开 把点和横杠记录下来 .--..--..--.--...--....-.--..---.----.--..--..-...---.....--......--.--...--...-...
巅峰极客2022初赛 部分题解
weixin_51122085的博客
08-18 2902
巅峰极客2022初赛 部分题解
180721 逆向-极客巅峰(Re)
whklhhhh的博客
07-22 1094
Reverse Simple Base-N IDA打开,从pdb路径可以leek出现一些信息 可以看到有Base32的字样,估计算法里可能会出现相关信息 继续加载 简单重命名一下,注释上一眼就能看出来的结构 change函数里对Input做了变换,然后下面与一段字符串进行比较 注意这个地方break出去是继续跑下面的代码,并不是直接结束 从插件显示的花括号对应可以看...
极客巅峰 2020 babyphp2(phar反序列化)
y0un9er
10-02 851
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
2020巅峰极客Crypto:tryrsa
weixin_44795952的博客
10-03 1238
写在前面 化简c1、c2的想法以及最后一步求q感谢:来梦桃子 原博客 题目 from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(3)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print (N) print (pow(msg,3,N)) msg = bytes_t
报名通道开启!赛宁网安护航“巅峰极客”网络安全技能挑战赛
Cyberpeace的博客
07-10 327
2023“巅峰极客”网络安全技能挑战赛聚焦“极客荟萃 逐梦巅峰”主题,搭建专业网络安全交流平台,创新升级比赛赛制,设立更多类型奖励办法,分为“网络安全技能大赛”、“网络安全创新创业大赛”两组赛道同步进行,鼓励全国高校相关专业人才、创新创业企业、创客踊跃参与,共同实现新经济和网络安全产业的和谐稳定发展。“综合渗透赛”深度模拟真实网络环境,参赛队伍以攻击者的角度进行切入,通过信息收集、拓扑测绘、外网渗透、资产数据发现以及内网横向移动等多种方式,最终完成仿真环境的渗透过程。
第9届极客挑战赛 misc wp
MEniDEwo的博客
10-21 1984
1、题目链接:http://morse.game.sycsec.com/ 查看网页源码 看到源于flag的格式字符 SYC{--. . . -.- .- -.-. - .. --- -. .... .- ... -... . --. ..- -. } 摩尔斯电码,网上找翻译的,提交成功 2、签到题 关注SYC小组微信公众号“三叶草小组Syclover”,回复“我要flag”,不要迷路...
ctfshow-pwnwp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值