pwn200
—XDCTF-2015
每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。
1.获取pwn题
啪的一下就下载好了。
2.查看保护
拿到题我不做,哎,我干什么呢,我先查看保护!
裸奔题,开的东西不多,所以这里就看我们发挥了
3.ida看看
首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我们继续往下看
这里的setbuf还把我搞蒙了一下,平时不是一般setbuf都是用来平衡栈帧的,但是今天这里涉及了&buf,我还以为我多输入的数据就会存在缓冲区里面呢有其他的用处呢,结果是我想多了,但是也侧面说明了我其实基础知识不够ok。
另外就是一个write函数在这里打印出来我们赋给变量的数值那么我们可以使用gdb调试进去看一看:
发现就是一串文字,然后继续看ida:
发现另外就有一个溢出函数,因为程序没有开gs,所以确定是可以溢出的。
使用cyclic 200,查看溢出发现是112
那么下一步我们查看一下有无可以直接跳转利用的函数
发现没有跳转的system函数,也没有第一时间看见bin/sh链,那么可以确定这是十分经典的ret2libc了,构建rop链,那么我可以写出前半部分的exp代码:
from pwn import *
from LibcSearcher import*
context.log_level='debug'
p=process("./pwn200")
e=ELF("./pwn200")
read_got=e.got["read"]
read_plt=e.plt['read']
write_plt=e.plt[