PWN dragon echo1 echo2 [pwnable.kr]CTF writeup題解系列16

原創 3riC5r 2020-06-12 20:28

由於pwnable.kr說明了不要將題解的利用腳本直接提出來,所以我就簡單說下思路,本篇包括三個題目

目錄

0x01 dragon

0x02 echo1

0x03 echo2

0x01 dragon

執行步驟

整數溢出漏洞:pDragon->HP 的類型是 signed byte,所以當超過127,就是負數了。這就是整數溢出漏洞

uaf漏洞:
1. malloc person
2. malloc dragon
3. free dragon
4. malloc pInput=dragon
((void (__cdecl *)(dragon *))pDragon->f_printinfo)(pDragon); = ((void (__cdecl *)(dragon *))pInput->f_printinfo)(pInput);

ida struct

00000000 person          struc ; (sizeof=0x10, mappedto_5)
00000000 type            dd ?
00000004 HP              dd ?
00000008 MP              dd ?
0000000C f_printinfo     dd ?                    ; offset
00000010 person          ends
00000010
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 dragon          struc ; (sizeof=0x10, mappedto_6)
00000000 f_printinfo     dd ?                    ; offset
00000004 type            dd ?
00000008 HP              db ? //signed byte
00000009 LifeRegeneration db ?
0000000A                 db ? ; undefined
0000000B                 db ? ; undefined
0000000C Damage          dd ?
00000010 dragon          ends

 FightDragon函數

void __cdecl FightDragon(int nPersonType)
{
  char nCount; // al
  int nWin; // [esp+10h] [ebp-18h]
  person *pPerson; // [esp+14h] [ebp-14h]
  dragon *pDragon; // [esp+18h] [ebp-10h]
  void *pInput; // [ebp-Ch]

  pPerson = (person *)malloc(0x10u);
  pDragon = (dragon *)malloc(0x10u);
  nCount = Count++;
  if ( nCount & 1 )
  {
    pDragon->type = 1;
    pDragon->HP = 80;
    pDragon->LifeRegeneration = 4;
    pDragon->Damage = 10;
    pDragon->f_printinfo = (char *)PrintMonsterInfo;
    puts("Mama Dragon Has Appeared!");
  }
  else
  {
    pDragon->type = 0;
    pDragon->HP = 50;
    pDragon->LifeRegeneration = 5;
    pDragon->Damage = 30;
    pDragon->f_printinfo = (char *)PrintMonsterInfo;
    puts("Baby Dragon Has Appeared!");
  }
  if ( nPersonType == 1 )
  {
    pPerson->type = 1;
    pPerson->HP = 42;
    pPerson->MP = 50;
    pPerson->f_printinfo = (char *)PrintPlayerInfo;
    nWin = PriestAttack(pPerson, pDragon);
  }
  else
  {
    if ( nPersonType != 2 )
      return;
    pPerson->type = 2;
    pPerson->HP = 50;
    pPerson->MP = 0;
    pPerson->f_printinfo = (char *)PrintPlayerInfo;
    nWin = KnightAttack(pPerson, pDragon);
  }
  if ( nWin )
  {
    puts("Well Done Hero! You Killed The Dragon!");
    puts("The World Will Remember You As:");
    pInput = malloc(0x10u);
    __isoc99_scanf("%16s", pInput);
    puts("And The Dragon You Have Defeated Was Called:");
    ((void (__cdecl *)(dragon *))pDragon->f_printinfo)(pDragon);
  }
  else
  {
    puts("\nYou Have Been Defeated!");
  }
  free(pPerson);
}

0x02 echo1

漏洞利用函數: 

__int64 echo1()
{
  char s; // [rsp+0h] [rbp-20h]

  ((void (__fastcall *)(object *))o->f_func1)(o);
  get_input(&s, 128);
  puts(&s);
  ((void (__fastcall *)(object *, signed __int64))o->f_func2)(o, 128LL);
  return 0LL;
}


get_input 可以做棧溢出
64位
root@mypwn:/ctf/work/pwnable.kr# checksec echo1 
[*] '/ctf/work/pwnable.kr/echo1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments

1、可以直接在棧中上傳shellcode
2、或者泄漏got表函數地址,然後根據got表地址查找libc的system、binsh,再繼續溢出執行system

0x03 echo2

漏洞利用函數: 

__int64 echo2()
{
  char format; // [rsp+0h] [rbp-20h]

  (*((void (__fastcall **)(void *))o + 3))(o);
  get_input(&format, 0x20LL);
  printf(&format);
  (*((void (__fastcall **)(void *))o + 4))(o);
  return 0LL;
}

printf(&format);
這裏有格式化字符串漏洞
可以泄漏got表,然後根據got表地址查找libc的system、binsh,再繼續溢出執行system

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

合天網安實驗室CTF-解密100-Funny Crypto

合天網安實驗室CTF-解密100-Funny Crypto 題目描述   tgbnjuy 8ujko9 5rfgy6 相關附件 參考解題步驟 字母 被圍起來的字母 圖示顏色 tgbnjuy h 紅 8ujko

皮卡皮卡~ 2020-07-08 09:00:51

長度擴展攻擊詳解

這幾天在看密碼學的長度擴展攻擊,看了不少文章,感覺都說得不夠清楚,自己弄清楚之後想寫一篇,做一個記錄。 1. 簡介        長度擴展攻擊(length extension attack),是指針對某些允許包含額外信息的加密散列函數

szuaurora 2020-07-08 06:53:55

2017zctf misc300

下載題目後是個zip壓縮包,帶有密碼,本質是zip僞加密,解決方法可以是用壓縮包自帶的修復功能,或者用二進制打開工具修改zip文件頭,或者直接在linux下用binwalk –e 直接解壓 成功解壓後是幾個不熟悉的文件格式,還是用binw

szuaurora 2020-07-08 06:53:53

[GXYCTF2019]BabySQli

看了大佬的博客,勉強整出來了,詳細的寫一下我的思路。 錯誤思路: 觀察發現是post傳值,想用sqlmap一把嗦,BP抓包=>sqlmap 得到數據庫:web_sqli 表:user 字段:passwd 得到密碼是cdc9c81

imbia 2020-07-08 02:36:55

君莫笑系列視頻學習(5)(終)

這次視頻講解的是通過jmp esp佈置跳到shellcode執行   pwn_by_example_7_b0verfl0w (jmp esp):https://www.bilibili.com/video/av35112734 與這個視頻

言承Yolanda 2020-07-08 01:37:50

君莫笑系列視頻學習(2)

早上九點起牀,洗漱喫飯,要十點了,明天早點睡,希望寒假越起越早。。。 現在又到了開心的學習時間。   pwn入門系列-2-一個簡單的例子 https://www.bilibili.com/video/av14824239/?spm_id_

言承Yolanda 2020-07-08 01:37:40

君莫笑系列視頻學習(4)

接下來,視頻講解的都是各個例子(https://space.bilibili.com/14500640/) (1)程序中自身就含有system函數和"/bin/sh"字符串 (2)程序中自身就有system函數,但是沒有"/bin/sh"

言承Yolanda 2020-07-08 01:37:40

re學習筆記(67)SCTF-re-signin

考察的是python的exe文件反編譯成py文件這個知識點, 所用工具在我的GitHub:https://github.com/Eliauk55/CTF-tools 先用pyinstxtractor.py得到exe轉pyc文件

我也不知道起什么名字呐 2020-07-07 22:52:30

[CTF]攻防世界web高手進階區Writeup(更新ing)

baby_web EMMMM,這就是一個簽到題~ 解題方法: F12→Networks→刷新抓包→完成 Training-WWW-Robots   看題目可以知道這道題考的是爬蟲協議(robots.txt文件)的知識 打

0pen1 2020-07-07 21:39:58

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40