-
-
[原创]ReeHY-main Pwnable writeup
-
-
[原创]ReeHY-main Pwnable writeup
……听说看雪有CTF……还是唯一一题pwn,所以过来看了一眼……典型菜单题,逆向很简单
虽然有show,但是没有任何信息会被打印出来,找不到info leak (姿势水平不够……)
这时候看见create那里有个整形符号的bug,所以直接就去搞那个了……
这个地方假如输入的bytes是0x80000000的话就会过这个检测,但是会malloc一个很大的值,memcpy一个很大的值,stack会被覆盖 (这里有个坑,因为read_int只接受10个数字,所以不能加换行……于是调试用pwntools进行,代码如下)
memcpy下断点稍微调了调 (这里使用了pwndbg,感觉比peda好用一些), 发现可以控制memcpy的所有参数
用pwn cyclic -l 找对应的偏移
由于之后会call fflush,所以用memcpy改掉了fflush的got到puts的plt上,同时改掉了stdout指向任意一个调用过的libc的got (ELF lazy binding 机制)(这里使用的是puts),这样当函数执行到fflush的时候会执行puts(.plt.got['puts']),于是拿到libc的地址偏移
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课