CTFHub pwn [FastBin Attack]

原创 已于 2024-07-13 15:56:25 修改 · 638 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2023-01-29 11:46:45 首次发布
本文通过两个版本的代码示例详细介绍了如何使用PWN技术进行内存操作,包括添加、编辑、释放内存块等步骤,最终实现对目标系统的远程代码执行。

版本一

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-5dd2c6599f1cd66f.sandbox.ctfhub.com",36598)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23.so")

def add():
	io.recvuntil(b">> ")
	io.sendline(b"1")

def free(idx):
	io.recvuntil(b">> ")
	io.sendline(b"2")
	io.recvuntil(b"Index:")
	io.sendline(str(idx))

def show(idx):
	io.recvuntil(b">> ")
	io.sendline(b"3")
	io.recvuntil(b"Index:")
	io.sendline(str(idx))

def edit(idx,size,data):
	io.recvuntil(b">> ")
	io.sendline(b"4")
	io.recvuntil(b"Index:")
	io.sendline(str(idx))
	io.recvuntil(b"Size:")
	io.sendline(str(size))</
最低0.47元/天 解锁文章
CTFhub pwn
清霂的博客
02-04 1502
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
堆溢出----Fastbin Attack
qq_42192672的博客
10-23 1584
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/                   https://www.anquanke.com/post/id/85357 之前稍微了解了一波Use After Free ,运用了fastbin,这次继续学一下fastbin的其他攻击方式,希望能学会...
ctfhub pwn
m0_63253040的博客
09-09 382
被ida演了一波,gets不给参数,**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。
CTF(pwn) Fastbin Attack
半岛铁盒的博客
06-21 350
Fastbin Attack Fastbin Double Free 其中linux中会有一个校验对于double free 即会判断当前 fastbin链表的头部,是否和当前释放的fastbin 是否是一样的,若是一样的话会报错 绕过方法是 释放时间隔一个堆块 连续释放的话会报错的 ...
[Asuri_CTFHub] pwn for(canary泄露)Write up
yym68686
01-25 1175
文件 for 这一题发现两个答案,canary偏移是47或39都可以。可能的原因是因为一个程序可以有很多个canary,canary是main函数的,所以是47,如果用choice2这个函数的canary就是39。 先看第一种情况偏移为47。 发现在函数choice2()中第九行printf(&s);表明存在格式化字符串漏洞。 用pwndbg确定printf地址,标记断点。 b printf 然后 run 输入 2 # 进入choice2()函数 1234 # printf的参数,随便
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
CTFHUB技能树——Pwn前置技能学习
QX_XDE的博客
04-24 1513
汇编指令讲解
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 748
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
CTFHUB(PWN)Ret2Text
Rt1Text的博客
02-02 4476
64位没有开启任何保护的Ret2Text
CTFHub[PWN技能树]——栈溢出
BangSen1的博客
01-11 663
栈溢出ret2textret2shellcode ret2text 例行检查,无任何保护 用64位的IDA打开,shift+F12 ,直接看到system和/bin/sh Ctrl+x, Tab 打开 跳转去/bin/sh,Ctrl+x ,转到0x4007B8 查看main函数 get没有输入限制,明显的溢出,溢出到/bin/sh即可,由于自己不会写,根据师兄的代码copy 师兄WP 得到FLAG ret2shellcode 例行检查 无保护 运行一下,给了一个提示 使用IDA64打开,查
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 1138
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
CTFHub技能树---pwn-Chunk Extend
saulgoodman的博客
02-07 630
add这里如果 index 0 ~ 9 都申请了的 chunk ,那么 i = 10 再退出 for 循环,但是还会接下去利用 ptr[10] = malloc(ptr[20]) 申请chunk,实现 index 0 的堆块溢出。最后第11个chunk的size会变成非常大,编辑chunk0,就可以实现溢出。也就是add 可以覆盖掉一个第一个 chunk 的 size。
CTF PWN入门
Sakura给爷pwn全场
10-31 539
https://blog.youkuaiyun.com/prettyx/article/details/103173220
CTFHub技能树-----pwn off by null
saulgoodman的博客
02-03 372
【代码】CTFHub技能树-----pwn off by null。
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 1575
ops
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 780
ctfhub pwn练习
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 1401
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
CTF PWN新手入门篇,PWN学习总结
最新发布
Python84310366的博客
01-23 1457
一什么是栈溢出?栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写入的地方,比如说返回地址。
深入解析CTF PWNfastbin堆溢出技术
'CTF PWN 武器库题'或'CTF PWN Rifle题'就是专门针对堆内存管理漏洞,特别是'fastbin'堆溢出漏洞而设计的题目,这类漏洞在现代软件系统中比较常见,涉及到堆内存分配机制中的fastbins概念。 在C语言中,堆内存是由...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值