解题记录(3)
这道题是一个rop的题目,漏洞利用很简单,但这题有不一样的地方
题目
如下,没有Canary和PIE保护,因此能够想到的就是栈溢出了
main函数如下
从main函数中,能够直观的发存在一个栈溢出
但是这里能够发现的是只能够溢出0x10字节,也就是只能控制程序的返回地址和基地址
再来看看init函数里面的东西
seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。
那么很明显,这里不能使用系统调用,就没办法获取shell了
分析
不能够执行system或者execve函数,但程序中的函数还是能使用的
我们的目的是获去flag,那么只需要调用open函数去打开flag文件,然后用read去读取,之后在打印出来即可
对于溢出只能溢出0x10字节,这里就需要借助main中第一个read了
这里的buf是处于bss段的,因此可以在这里构造栈数据,之后通过溢出 的0x10字节,修改rbp和rip进行栈迁移就行了栈迁移
需要借助指令leave
这条指令会将rbp的值赋值给rsp,然后执行pop rbp
main函数执行完后就会执行
leave; retn
加入溢出的0x10字节是fake_rbp = 0x600000和fake_rip = leave_addr
那么leave执行后rsp = rbp,rbp = 0x600000
然后执行retn在去执行leave
那么rsp = rbp = 0x600000,这样