CTFshow pwn49 wp

PWN49

用ida打开我们发现是静态编译的,所以先要通过libc库来打是不可能的了,程序里面有一个栈溢出点,找一下有没有system函数,发现并没有

那么我们找一下有没有mprotect函数如果有这个那么我们可以把一段地址改成可读可写可执行权限,然后写入我们的shellcode就可以执行了,发现确实有这个那么思路就清晰了

我来介绍一下什么是mprotect函数

在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。

函数原型如下:

include <unistd.h>

include <sys/mmap.h>

int mprotect(const void *start, size_t len, int prot);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:

1)PROT_READ:表示内存段内的内容可读;

2)PROT_WRITE:表示内存段内的内容可写;

3)PROT_EXEC:表示内存段中的内容可执行;

4)PROT_NONE:表示内存段中的内容根本没法访问。

不过要注意的是锁指定的内存区间必须包含整个内存页(4K)。区间开始的地址start必须是一个内存页的起始地址,并且区间长度len必须是页大小的整数倍。意思就是地址后三位为0结尾(4096)的整数倍

这里地址我们可以取bss段地址

知道这个就可以开始写exp了,思路是通过mprotect函数来修改bss地址的权限,然后调用read读取我们写的shellcode,但是要找到3个连续的pop来把mprotect的3个参数弹出然后传read参数最后返回到bss段执行shellcode

exp如下

posted @ 2024-04-02 12:39  CH13hh  阅读(95)  评论(0编辑  收藏  举报