CTFshow pwn49 wp

PWN49

用ida打开我们发现是静态编译的，所以先要通过libc库来打是不可能的了，程序里面有一个栈溢出点，找一下有没有system函数，发现并没有

那么我们找一下有没有mprotect函数如果有这个那么我们可以把一段地址改成可读可写可执行权限，然后写入我们的shellcode就可以执行了，发现确实有这个那么思路就清晰了

我来介绍一下什么是mprotect函数

在Linux中，mprotect()函数可以用来修改一段指定内存区域的保护属性。

函数原型如下：

include <unistd.h>

include <sys/mmap.h>

int mprotect(const void *start, size_t len, int prot);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

prot可以取以下几个值，并且可以用“|”将几个属性合起来使用：

1）PROT_READ：表示内存段内的内容可读；

2）PROT_WRITE：表示内存段内的内容可写；

3）PROT_EXEC：表示内存段中的内容可执行；

4）PROT_NONE：表示内存段中的内容根本没法访问。

不过要注意的是锁指定的内存区间必须包含整个内存页（4K）。区间开始的地址start必须是一个内存页的起始地址，并且区间长度len必须是页大小的整数倍。意思就是地址后三位为0结尾(4096)的整数倍

这里地址我们可以取bss段地址

知道这个就可以开始写exp了，思路是通过mprotect函数来修改bss地址的权限，然后调用read读取我们写的shellcode，但是要找到3个连续的pop来把mprotect的3个参数弹出然后传read参数最后返回到bss段执行shellcode

exp如下