XCTF-forgot WP

博主： chuj
发布时间：2020 年 11 月 02 日
534 次浏览
暂无评论
702字数
分类： CTF-WP

Loading...

<p>这是我做的第一道处于进阶区pwn题。</p>

<p>checksec查看安全保护</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195634.png" alt="" class="wp-image-362"style=""></figure></div>

<p>中规中矩</p>

<p>到ida里反汇编一下，shift+F12发现有这么一个函数</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-202539.png" alt="" class="wp-image-368"style=""><figcaption>所以调用它就是了</figcaption></figure>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195539.png" alt="" class="wp-image-363"style=""></figure></div>

<p>同时可以发现有两个溢出点，第一个溢出点只有32的上限，没什么用处，因为会发现，<img class="wp-image-364" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195929.png" alt=""style="">这里面若想直接改变调用的函数，就必须修改v14，然后v14正好离s 32个字节处，这里的fgets只读到32-1位哈哈哈哈哈哈哈哈哈哈。</p>

<p>所以就考虑使用第二个溢出点。这个不错，可以无限溢出。</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-200509.png" alt="" class="wp-image-365"style=""></figure>

<p>我们再看看这个switch，会发现case 5之前的判断都比较麻烦，但是case 5之后就都是v2[i]在a~z中的时候就v14++，并且v14只会加到10，之后就是一直default break，</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-201956.png" alt="" class="wp-image-366"style=""></figure>

<p>再结合栈中变量的分布，<img class="wp-image-364" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195929.png" alt=""style="">，当v14等于10的时候，就会调用v12中存的函数，所以我们可以考虑改变v12的指向的函数位置，这个很容易，只要覆盖掉就可以了</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-202307.png" alt="" class="wp-image-367"style=""></figure></div>

<p>看一眼exp，'a'*0x44+p32(..)（注意！必须是a~z中的字母，不然没法通过switch）把v12指向的函数地址变为了有cat flag的函数，然后通过'a'*0x20+p32(0x8)把v14修改为8，之后的for中就可以把v14变成10了。当然0x5-0x7也是（应该）可以的（0x6是可以的，我测了），那么为什么不一开始直接赋给v14 10或9呢，这是因为0x9和0x分别是</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-203043.png" alt="" class="wp-image-369"style=""></figure>

<p>scanf读到这些的时候就停了，然后就玩完了，所以必须要是0x8（或者之前一点）</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-203220.png" alt="" class="wp-image-370"style=""></figure>

<p>这个还挺恶心的，所以要留点心。</p>

最后修改：2020 年 12 月 30 日

© 允许规范转载

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

RCTF2021-musl-WP
评论数： 11
写在大一结束
评论数： 9
HGAME2021-WEAK1-WP
评论数： 5
XCTF/BUU-babyfengshui-WP
评论数： 4
BUU-360chunqiu2017_smallest-WP
评论数： 3

1
非常感谢你的博客，解决了我使用LLVMFuzzerRunDri...
N1pe
之前的确是在linux呀，但是后来我重启了下虚拟机就正常了，（...
N1pe
能请问下师傅在本地getshell以后，按回车键只能回显出^M...
xia0ji233
那个tcache_pthread_struct的地址+32确定...
shadow_gladiator
tql

XCTF-forgot WP

chuj • 2020 年 11 月 02 日

Loading...

<p>这是我做的第一道处于进阶区pwn题。</p>

<p>checksec查看安全保护</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195634.png" alt="" class="wp-image-362"style=""></figure></div>

<p>中规中矩</p>

<p>到ida里反汇编一下，shift+F12发现有这么一个函数</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-202539.png" alt="" class="wp-image-368"style=""><figcaption>所以调用它就是了</figcaption></figure>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195539.png" alt="" class="wp-image-363"style=""></figure></div>

<p>同时可以发现有两个溢出点，第一个溢出点只有32的上限，没什么用处，因为会发现，<img class="wp-image-364" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195929.png" alt=""style="">这里面若想直接改变调用的函数，就必须修改v14，然后v14正好离s 32个字节处，这里的fgets只读到32-1位哈哈哈哈哈哈哈哈哈哈。</p>

<p>所以就考虑使用第二个溢出点。这个不错，可以无限溢出。</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-200509.png" alt="" class="wp-image-365"style=""></figure>

<p>我们再看看这个switch，会发现case 5之前的判断都比较麻烦，但是case 5之后就都是v2[i]在a~z中的时候就v14++，并且v14只会加到10，之后就是一直default break，</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-201956.png" alt="" class="wp-image-366"style=""></figure>

<p>再结合栈中变量的分布，<img class="wp-image-364" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-195929.png" alt=""style="">，当v14等于10的时候，就会调用v12中存的函数，所以我们可以考虑改变v12的指向的函数位置，这个很容易，只要覆盖掉就可以了</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-202307.png" alt="" class="wp-image-367"style=""></figure></div>

<p>看一眼exp，'a'*0x44+p32(..)（注意！必须是a~z中的字母，不然没法通过switch）把v12指向的函数地址变为了有cat flag的函数，然后通过'a'*0x20+p32(0x8)把v14修改为8，之后的for中就可以把v14变成10了。当然0x5-0x7也是（应该）可以的（0x6是可以的，我测了），那么为什么不一开始直接赋给v14 10或9呢，这是因为0x9和0x分别是</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-203043.png" alt="" class="wp-image-369"style=""></figure>

<p>scanf读到这些的时候就停了，然后就玩完了，所以必须要是0x8（或者之前一点）</p>

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-02-203220.png" alt="" class="wp-image-370"style=""></figure>

<p>这个还挺恶心的，所以要留点心。</p>