babyrop
ida打开
main函数
sub_804871F():
sub_80487D0():
可以看到在sub_80487D0()这个函数中,当a1也就是main函数中的参数v2不等于127的时候read函数就可以无限的读入,栈溢出漏洞,所以要改变v2的值。而v2的值是由函数sub_804871F()来赋值,这个函数中可以利用strlen()的特性,它读到’\x00’时就会认为字符长度已读完,还要利用这点来绕过后面的if中条件。参数s的值为0未赋初值。并且这里可以看到v2的地址和buf的地址差0x7,则可以控制v2的值
exp
get_started_3dsctf_2016
这里只记录远程的做法
这道题的关键在于mprotect函数(ps:https://blog.csdn.net/roland_sun/article/details/33728955),它的作用总的来说就是可以用来修改一段指定内存区域的保护属性,然后就可以利用这点修改bss段的权限为可读可写可执行就可以帮助拿到shell
分析一下mprotect函数原型
int mprotect(const void *start, size_t len, int prot)
start 内存的起始地址
len 修改内存的长度
prot 内存的权限
所以首先利用栈溢出到mprotect函数的地址准备进行权限修改
payload = 'a'*(0x38) + p32(mprotect_addr)
然后需要设置mprotect的三个参数,本来32位程序是不需要寄存器进行传参的,但是为了后续能够继续控制程序,所以需要ret指令,先查看一下修改内存bss段的地址
这里选择0x80eb000,然后因为mprotect函数有三个参数,所以就找三个的寄存器
这里我选择了0x809e4c5,接着就开始设置mprotect函数的参数,第一个参数设置为刚刚找到的bss段的地址,第二个参数设置为0x1000,第三个参数权限设置为7,然后将函数返回为read地址,继续控制程序读入shellcode,
payload += p32(pop3_ret)
payload += p32(bss_start)
payload += p32(length)
payload += p32(prot)
payload += p32(read_addr)
read函数的函数原型
int read(int fd,char* buf,unsigned count)
fd 设置为0时就可以从输入端读取内容
buf 设置为刚刚修改了权限的bss段地址
count 读入的大小,设置大一些也无所谓方便读入全部的shellcode
可以看到依然是三个参数,所以可以继续利用前面找到的三个寄存器来帮助传参,最后返回到bss的地址执行shellcode
payload += p32(pop3_ret)
payload += p32(0)
payload += p32(bss_start)
payload += p32(0x1000)
payload += p32(bss_start)
接着发送payload然后再传入shellcode,就可以get shell了
exp