XYCTF pwn部分题解 (部分题目详解)
hello_world(签到)
思路:✅
这道题就是利用printf函数泄露libc的基地址,然后再次进行栈溢出通过system,/bin/sh来获取shell
wp:
invisible_flag
思路:✅
题目提示orw,那我们先看看是否开了沙盒
那么是开了沙盒的,试试orw读取flag
虽然保护全开但是程序会执行我们写的shellcdoe那么就可以orw读取flag了
wp:
static_link
思路:✅
那么这题提示我们是静态编译,对于静态编译的,哪些ret2libc什么的都没法使用了,但是我们可以利用程序现有的函数,比如read,write,mprotect....等等。那么这道题目就可以利用mprotect函数来获取shell,对于这个函数详细的解释,可以看看这篇博客 mprotect静态编译
wp:
guestbook1
思路:✅通过修改index和name来完成类似于栈迁移的过程,先修改最后一个字节到backdoor,因为我们不知道栈的地址,但是可以通过爆破最后一个字节来完成迁移(有1/16的概率)
wp:
baby_gift
思路:✅题目给了我们gift函数,但是我发现没有什么实际的作用,但是他提醒了我们要看看rdi(hahaha)
程序是有溢出的,但是没有pop_rdi那一类的gadget
那我们看看反汇编的GetInfo函数,发现了一个不得了的东西
那么就是我们输入栈上的数据被赋值给了rax,rax赋值给了rdi,也就是我们可以,通过输入的数据来控制rdi,那么我输入一个%p后面\x00截断一下,然后返回地址调用printf是不是就可以泄露rsi的地址,我们还要看一下rsi的地址是不是跟libc的地址有关
发现是有关的,那么我们就可以计算出read函数的地址,进而得到libc版本和libc_base
那么接下来就再来一次溢出通过输入/bin/sh控制rdi,然后system就好了
但是值得注意的是我们要把eax清零之后再进行我们的打印和system函数,不然就会出现一系列的问题。
wp:
fmt
思路:✅题目是格式化字符串类型的题目,而且给了后门函数,还有libc的地址,但是这次没有给我们printf而是scanf,但是本质上是一样的,都可以进行漏洞的利用,因为程序利用exit来退出的,我们可以利用sacnf的%s来进行修改exit_hook为后门函数,关于这个函数具体可以看这个博客 https://www.cnblogs.com/bhxdn/p/14222558.html
wp:
❗这里踩个坑,我发现直接gdb调试和使用脚本来动态调试,exit_hook的偏移不一样,可能是我输入的东西的区别?.......所有还是以脚本调试的为主吧haha
simple_srop
思路1:✅本题开了沙盒,所以不能直接sh来进行getshell,可以进行orw读取flag,注意一下偏移即可
思路2:✅通过mprotect函数执行orw shellcode,当然这个shellcode可以手写也可以使用工具,其实两种思路都是差不多的都要注意偏移
wp:
Intermittent
思路:✅这个题目限制了我们的shellcode,但是别怕,因为程序会跳到,可执行段上去执行,然后我们输入的数据在栈上,它会四个字节一组赋值给可执行段上,但是不连续,我们可以通过我们输入栈上的数据和它配合来syscall
因为rax要为一个合法地址,所以我们要给rax赋值(它实际上是把rax最低的一个字节加到它本身)
wp:
那先到这里吧(后续我再补上haha)
总结:这次收获很大,比赛不是目的,而是总结提高的一次机会,师傅们都很厉害,大家一起交流,有什么具体的问题可以评论留言,第一时间解答!!