详细ciscn_2019_s_3题解

来了来了，我拖了好久，因为吧，之前做了个堆题，大概用了一周才做完，做完堆题，下一个题是栈的，我以为会很简单，但是对我来说很难诶。上才艺…
（系统调用其他师傅都有写，我就不赘述啦啦啦啦啦），因为师傅们翻到我这里肯定对系统调用有了解了呀，我这么菜，只能在最下边呜呜呜。
1.拖入ida，反汇编（64位），注意到函数传参与32位会不同。
在函数框内发现vuln（大家应该对这种函数很熟悉了吧），还有gadgets函数，奇怪，正常的栈不会有这种东西啊，于是我就点进去看了看，看到了这两个像rax进行传参的汇编，这就为我们后来做系统调用做了铺垫吧（当时怎么没想到，当时一直想的是普通的ret2libc，可是在函数表里没有read和write的plt和got，无法进行泄露）
2.因为程序开了地址随机化，所以每次载入内存的地址都不相同，但是read函数会向buf读入0x10的数据，write会将buf中的0x30数据输出，但是buf大小只有0x10，还有0x20的多余，那么write首先会将buf内容打印出来，然后再泄露比buf地址高处的内容。看图buf输出完后，再从ret这个地址处输出0x20的数据大小，那就gdb调试一下看看栈上有何内容吧aaaaaaaa的位置在0x7fffffffde60，去查看这个内存地址附近的内存，write能从地址0x7fffffffde60输出到地址0x7fffffffde80，这里边的内容，发现有疑似栈的数据0x00007fffffffdf78（好像说是栈的地址，0x00007fffffffdf78与刚开始rsi内存的数据相同，所以是栈的基地址）,因为开启了保护，所以每次栈的内存都不同，但是栈内的偏移是相同的呀，利用bin_sh_addr = 栈的基地址 - 0x118。那我们利用read向栈上写/bin/sh字符串，再用write进行泄露/bin/sh的地址。
也就是说，因为write打印的话，是先从栈的低地址打印，再打印高地址的内容，那么先打印0x20的数据，再打印0x8的数据就是栈的基地址，再减去0x118就获得 /bin/sh的地址喽
3.获得了取得/bin/sh地址的方法，那么我们怎么利用呢？
二
1.构建payload1 = b"/bin/sh\x00"+p64(0)+p64(vuln) 让程序再返回vuln函数（这里要加隔断符是因为程序是64位的，要满足8字节对齐，/bin/sh是七个字节。）·然后接受write打印的前0x20个无用数据，再接受栈基地址数据，最后根据前边调试出来的公式得到我们写入的/bin/sh地址

构造payload2之前，先声明一下pop_addr = 0x40059a,mov_addr = 0x400580,mov_rax = 0x4004e2

2.payload2 = b"/bin/sh\x00"*2+p64(pop_addr)+p64(0)*2+p64(bin_sh_addr + 0x50)+p64(0)*3+p64(mov_addr)+p64(mov_rax)+p64(pop_rdi)+p64(bin_sh_addr)+p64(syscall)
我们来一步一步解析，因为又回到了vuln函数内，首先就有溢出，填充/bin/sh\x00，然后可以得到他的地址。
再对rbx,rbp,r12,r13,r14,r15赋值，再去执行给rdx，rdi赋为0，执行call [r12],这个函数是执行，r12寄存器中存储的地址的函数（因为rbx等于0嘛），r12内存的是bin_sh_addr+0x50这个地址，这个地址存放的是mov_rax（这里我卡了一天才弄懂，我来个图吧直接，铁子们）
够清晰了叭，bin_sh_addr+0x50其实指向的就是mov_rax，因为mov_addr附近没有ret指令，也就没有办法给rax赋值为3bh喽。（其实吧，0x50位置处不是mov_rax也行，可以是pop_rdi，因为两者执行完主体之后，都会有ret，可以shi6rop继续执行下去。）

payload

以下与题无关，仅提醒自己
这里在最后提醒一下自己：
p32/p64: 打包一个整数，分别打包为32位或64位
u32/u64:解包一个字符串，得到整数
encode：str->byte
decode:byte->str
平常io.recv()得到的都是字符串，io.send()送去的是字符串。