2021 东华杯 pwn boom_script

最新推荐文章于 2024-11-27 14:46:39 发布
原创 最新推荐文章于 2024-11-27 14:46:39 发布 · 320 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

在这里插入图片描述
RELRO没开。

在这里插入图片描述
程序本身的逻辑是实现了一个boom语言的编译器,我们输入boom语言会给我们编译。

但是对于我们做题人来讲,因为程序体量太大,我们逆向起来会非常麻烦,所以我们结合他一些可能会出漏洞的地方,进行一些猜测并尝试。

我们最后将漏洞点放在了他的array,也就是数组的地方。
猜测他数组可以造成越界。

我们来检查一下对不对。

我们就简单的

array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;

在这里插入图片描述
我们明显发现有越界,现在的问题就是如何能把这个越界利用起来。

首先我们要再去看一下malloc、free函数是在什么情况下使用的,便于我们使用数组越界进行利用。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
我们结合代码,结合我们的调试我们发现,字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。

我们通过阅读代码发现

最低0.47元/天 解锁文章
pwnscripts:非常简单的脚本可以加快二进制漏洞利用程序的创建
05-06
pwnscripts(0.6.0) 非常简单的脚本,可以加快二进制漏洞利用程序的创建。 要使用,请pip install pwnscripts或运行 git clone https://github.com/152334H/pwnscripts cd pwnscripts pip install -e . 并将from pwn import *替换from pwn import * from pwnscripts import * ,例如 from pwnscripts import * context . binary = './my_challenge' ... 另外, libc_database()扩展需要 。 您可能需要查看user_tests_and_examples.py中的一些示例。 特征 Pwnscripts具有许多不同的功能。 图书馆 像之类的总是感到不完整。
boom.js:用于构建DOM树的简单模块
05-06
繁荣是荷兰人的树。 boom.js是一个用于构建DOM树的简单库。 只需放置一个boom (树),将其传递给容器选择器和一些takken (分支),它将呈现您在容器中指定的DOM树。 这使您可以以编程方式呈现DOM树。 压缩后只有〜1kb,不需要jQuery或其他依赖项。 用法 通过npm安装: npm install boom.js 导入应用 //ES5 var boom = require ( 'boom.js' ) . boom var tak = require ( 'boom.js' ) . tak //ES6 :) import { boom , tak } from 'boom.js' 或仅包含boom.js / boom.min.js,即可在全球范围内使用boom和tak < script src =" node_modules/dist/boom.min.js "
2021东华pwn部分wp
eeeeeight的博客
11-01 1950
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
东华-pwn-cpp1
One_p_Two_w的博客
11-11 3124
东华-pwn-cpp1 前一阵子东华pwn题,比赛时候没做出来,说起来那时候我才刚学到fastbin attack,天天在和libc2.23打交道,比赛的时候时候看见libc全是2.31的…孩子人都傻了,遂去misc划水。。。(r n m,退钱!) 现在终于看了tcache,寻思试一下之前的赛题,于是有了这篇博客,做起来发现,好像并没有那么难? 我本地的环境就是2.31的,所以就在本地尝试复现了一下,文件已经传到了网盘,想复现的师傅们可以在这里下载 分析 main函数如下 菜单 new new中允
JS函数BOOM、DOM、事件
weixin_30550271的博客
04-16 561
screen对象 */ console.log(screen.width);//屏幕宽度 console.log(screen.height);//屏幕高度 console.log(screen.availWidth);//可用宽度 console.log(screen.availHeight);//可用高度 屏幕高度-任务栏高度 /* * location对象 * * 完...
pwn2021 东华(部分)
woodwhale的博客
10-31 3737
pwn2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
pwn1_sctf_2016
weixin_56301399的博客
07-21 1880
这道题目的情况是多了个替换字符的函数,使得一个I在存储中变为you,一个字节变为三字节,这时候需要根据情况确定多少字符使得栈溢出。 还是照常的流程,但题目已经开始变化了,我现在还是一知半解迷迷糊糊的状态,害,菜狗子还需努力。......
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2661
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
【BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 350
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
2021 深育 pwn create_code
yongbaoii的博客
01-19 355
保护没有开NX,能执行shellcode。 malloc中可以执行一段shellcode。 但是字节大小不能大于15 我们一定是需要输入正常的shellcode的。 因为我们其实可以看的到有溢出,可以想办法在堆里布置好shellcode,然后在一个chunk中通过一些符合条件但没什么用的代码走下去,走到我们shellcode。 然后我们试图去找合适的汇编代码。 http://ref.x86asm.net/coder64.html#x0F48 利用起来。 # -*- coding: utf-8 -*- f.
2020网鼎pwn
qq_43665031的博客
05-11 3231
2020网鼎pwn boom 这个程序是真的特别特别的大,初步分析了一下后面就没有分析了,但是分析出了应该是个c语言的编译然后转化成字节码运行的程序,而且只能使用函数一次,也限制了程序的长度,分析去这个之后测试了一些c代码,发现可以输入int * a = 0x12345678之内的代码,然后在*a = 1234,改写 0x12345678地址的值,程序没有任何地址保护之内的东西,通过这样的代码就可以造成任意地址读写,所以只要泄露信息就好了 gdb调试发现,可以通过 int a; int *b = &amp
[pwn]VMpwn:2020网鼎青龙组pwn boom2 wp
热门推荐
Breeze的博客
05-12 1万+
2020网鼎青龙组pwn boom2 wp 比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。 题目分析 首先检查一下安全策略: 安全策略全开,然后简单看一下逻辑: 执行之后让你输入co
网鼎第一场 部分re crypto pwn 题解
qq_41071646的博客
05-11 1482
这次没想到还拿了一道re的一血、 题目名称 re bang 一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把梭,然后直接反编译 发现flag 拿到了一血,, 题目名称 re signal 这个题目 自己实现了vm 自己写了一个脚本(不要吐槽我的拼音,当时有点着急 就没有想那么多) 自己写了一个python代码模拟了一下 lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4..
pwntools 简单用法
xuqi7
05-07 3384
官方一个示例 remote.py   """ Example showing how to use the remote class. """ from pwn import * # 也可以直接 import pwn sock = remote('127.0.0.1', 9001) # 连接远程服务 print sock.recvline() # ...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7370
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 7298
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6253
尝试过很多解决方案之后无果 决定研究一下它的整个流程
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5963
cccccccodeql
[SWPUCTF 2021 新生赛]gift_pwn
最新发布
03-04
### SWPUCTF 2021 新生赛 `gift_pwn` 解题思路 #### 背景介绍 题目涉及的是一个典型的 PWN 类型挑战,主要考察选手对于缓冲区溢出漏洞的理解以及利用该类漏洞执行任意代码的能力。通过分析给定的信息可以得知此题的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值