hgame——pwn week1复现

aaaaaaaa：
checksec检查，ida分析：

image.png image.png

开了堆栈不可执行的保护，分析逻辑很简单，就是输入必须a，且是一堆a，a数量大于99即可，就可以直接getshell了，上脚本：

image.png
image.png

薯片拯救世界1：
checksec检查，ida分析：

image.png
image.png

开了Cannary栈溢出保护，堆栈不可执行保护。逻辑就是将读取出来的flag放到bss段s1中，看到read函数，在while循环里面，输入存到buf中，buf与s1进行比较，匹配就成功，不匹配就失败，这里本地测试时需要自己写个flag（24位的大小）不然跑步起来，刚开始以为可以绕过泄露cannary去绕过保护，失败了，换思路，拿出逆向的思想，这题或许可以暴力破解，就是ASSCI码一个个去试，加个截断符\x00，每一次只要成功了，就往下，猜想flag是hgame{xxxxx}，所以直接上脚本：

image.png
image.png
image.png
总结：当思路不对时，及时调整思路，爆破的思路继续学习~
babysc：
image.png

64位，没有开任何保护，堆栈可以执行，直接生成shellcode，确定下来，然后去ida看看逻辑：
刚开始，发现F5大法不行了，此时两种方法：1、直接刚汇编 2、nop掉fail的地方，就可以F5大法了，我们选择方法2，把call rdx nop掉，得到图：

image.png
这里很明显是进行了异或加密，逻辑很简单，直接生成的shellcode先进行异或一次（相当于加密），发送过去时它又会异或一次（相当于解密），就是我们的shellcode了，paylaod：
image.png
image.png

之前做逆向题也遇到过代码异或加密的题目，把代码转成16进制，进行解密，再转成字符型，也作为一个经验的积累吧。
Stein；Gate：
检查下保护机制：

image.png

保护还挺多的，就一个地址随机化没有开了
ida分析：

image.png
看来是有很多关卡要过了，一个个来吧：
image.png
看来要return 0才能一步步地过关，不能中途exit（0），看看参数函数，也就是
第一关：
image.png

看到random，应该会产生随机数，然后看到输入ID是到bss段的，没什么思路，暂时知道ID是放到bss中，看看下一关：

image.png
看到是有栈溢出的操作，但是开了栈溢出保护，不能直接溢出哎，只能先覆盖那个v2 为0x2333才能进入下一关，那么查看栈中的位置：
image.png
image.png
v2就是那个var_10，所以栈的偏移为0x40-0x10=0x30,然后覆盖那个0x2333即可过第一关，下一关：
image.png

格式化字符串漏洞！小窃喜，下断点看程序：

image.png

可以发现，我们的输入在rsi寄存器中，而我们的随机数v4刚好在我们的rsi所在栈中位置的上一个，所以随机数在栈中的位置与esp的偏移为2，而64位因为6个寄存器优先存值，rsi是第二个寄存器，所以rsi到栈esp有5的偏移，所以总的偏移为7，这样就可以泄露出随机数的值了，这个值加上那个0x1234又写回到v4中，所以可以用填充的方法实现，又因为第三关要提前填好v1成0x6666的值：

image.png

所以在这里一起写：

image.png

来到第三关：
我们知道那个v1已经写好了，这里读取5个字节，然后又是格式化字符串的漏洞，那么可以canary泄露了，我们知道canary是存在于ebp的上一个的值，紧挨着ebp的，那么就可以知道它的偏移量了：

image.png
可知在栈中相对于ebp的偏移是6，而rsi和esp的偏移为5，所以总的偏移为11，那么：
image.png

这里我们就得到了canary的值，到时填充到它的溢出位置就能实现栈溢出了，到时直接一个gadget利用system函数就能getshell了：

image.png