BUUCTF-PWN-ACTF_2019_message

最新推荐文章于 2025-02-20 15:35:52 发布
原创 最新推荐文章于 2025-02-20 15:35:52 发布 · 322 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #pwn #安全 #python #linux

本文详细分析了一个C程序中存在Double Free漏洞的代码,并探讨了如何利用这个漏洞通过设置malloc_hook和_free_hook来执行任意命令。在无法直接利用got表的情况下,通过操纵内存chunk并修改_free_hook,最终实现执行/bin/sh。文章还提供了完整的EXP代码来演示攻击过程。

1.checksec+运行

除了PIE,其它保护全开,规矩的堆菜单

2.64位IDA 

1.ADD

{
  int i; // [rsp+8h] [rbp-28h]
  int v2; // [rsp+Ch] [rbp-24h]
  char buf[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v4; // [rsp+28h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  if ( dword_60204C <= 10 )        //全局变量
  {
    puts("Please input the length of message:");
    read(0, buf, 8uLL);
    v2 = atoi(buf);
    if ( v2 <= 0 )
    {
      puts("Length is invalid!");
    }
    else
    {
      for ( i = 0; i <= 9; ++i )
      {
        if ( !*(_QWORD *)&dword_602060[4 * i + 2] )
        {
          dword_602060[4 * i] = v2;
          *(_QWORD *)&dword_602060[4 * i + 2] = malloc(v2);
          puts("Please input the message:");
          read(0, *(void **)&dword_602060[4 * i + 2], v2);
          ++dword_
最低0.47元/天 解锁文章
Pwn actf_2019_message:fastbin double free 做法
qq_33348179的博客
02-22 468
那么接下来就是泄露got地址 得到libc基址 得到freehook地址 再让freehook指向system(先将chunk6改为freehook地址 再利用chunk0 改为system)如果需要绕过fastbin对两次free的检查 就需要提前再设置一个0x30大小的堆 来让接下来的创建堆能顺利创建到假chunk的位置。如果double free之后 再申请一个大小相同的堆 ptr所在的位置往前移8字节(0x602058) 假设以此处为假chunk头。再通过给出的函数就能修改假chunk的内容。
[BUUCTF]-PWN:actf_2019_babystack解析
2301_79326813的博客
02-05 578
先看保护再看ida原本我以为会是整数溢出,但是实际上不是。这道题考到了栈迁移,并且还给了我们栈的地址,并且正好是栈顶。
actf_2019_message
kjdfklha的博客
08-26 459
BUU actf_2019_message double free/tcache dup
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 926
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
noxctf2018_grocery_list&&actf_2019_message
doudoudedi
03-17 582
noxctf2018_grocery_list 先是观察函数发现有一个可以泄露栈地址然后通过tcache attack打到栈上泄露libcbase然后再次写入free_hook拿到shell exp: #!/usr/bin/python2 from pwn import * #p=process('./GroceryList') p=remote('node3.buuoj.cn',26988) e...
buuctf--ciscn_2019_c_1
最新发布
2301_81060697的博客
02-20 847
获取libc库构造rop链
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 692
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2653
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 349
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
pwnactf_2019_message(转载)
INK
08-26 258
pwn
actf_2019_actfnote
doudoudedi
06-22 634
思路 通过溢出将topchunk的位置向上提然后申请堆块即可完成一次任意地址写入 exp: #!/usr/bin/python2 from pwn import * #p=process('./ACTF_2019_ACTFNOTE') p=remote('node3.buuoj.cn',26474) elf=ELF('./ACTF_2019_ACTFNOTE') libc=elf.libc def add(size,name,content): p.sendlineafter('$ ','1') p.
actf_2019_babystack
z1r0的博客
12-31 1405
actf_2019_babystack 查看保护 溢出0x10个字节,大小不够。栈迁移,s的地址都给了,将payload写入s,改ebp和ret为s地址和leave_ret即可。payload前加8个a让rip成功跳转到payload。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node
actf_2019_babyheap
z1r0的博客
02-16 755
actf_2019_babyheap 查看保护 这里有一个uaf。 这里的堆块还创建一个指向show的地址。 攻击思路: 因为有show的地址,还有uaf。所以可以通过uaf来修改show的地址为system_plt。创建两个0x31大小的堆,此时释放掉再申请两个0x21大小的堆,这个时候就是调用其余一个存放功能的堆块,再加上uaf的存在,将show功能的堆块改为system,将存放conext的功能改到binsh那里,此时调用另一个堆块就相当于调用system("/bin/sh"); from pw
[BUUCTF-pwn] 鹏城杯_2018_easycalc
weixin_52640415的博客
02-09 394
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
[冀信2021-pwn] pwn19
weixin_52640415的博客
12-15 2672
这是一个简单的printf+溢出题,可以输入2次6位的串用来printf,然后输入串溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { int v5; // [rsp+Ch] [rbp-34h] __int64 buf[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v7; // [rsp+38h] [rbp-8h] v7 = __readfsq
[黑盾CTF 2023] secret_message 复现
weixin_52640415的博客
05-25 1367
利用alarm造syscall,利用read填充rax实现syscall(0x3b) execv
攻防世界 Misc高手进阶区 5分题 Avatar
闵行小鱼塘
12-21 896
继续ctf的旅程,攻防世界Misc高手进阶区的5分题,本篇是Avatar的writeup
消息摘要算法+CTF
qq_74841412的博客
06-30 2061
MD5(Message-Digest Algorithm 5)是最早且广泛使用的消息摘要算法之一。它产生128位的哈希值,通过一系列的步骤对输入的消息进行处理,包括填充、附加长度信息、进行四轮不同的处理(每轮包含16个步骤),最后输出固定长度的摘要。然而,随着密码分析技术的发展,MD5已经被证明存在严重的碰撞弱点,即存在不同的消息产生相同的哈希值。因此,MD5已经不再适合用于需要高度安全性的场景。
一道简单的smc自解密题目
m0_62690279的博客
03-27 1182
一道简单的smc自解密题目 攻防RE_BABYRE 64位elf,拉入ida 打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i )
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值