每次做pwn题目都像破案一样,千头万绪,环环相扣,在凑齐所有线索之后一击致命,非常有意思。但毕竟初学,还需凭着这点兴趣继续努力!
该题目是在64bit的linux运行的。用户可以选择3个选项,第一个选项会打印出puts函数的地址,第二个选项存在栈溢出,可以输入shellcode,第三个选项会退出程序。
本题若要本地调试,必须首先在本地建立一个tutorial用户,否则会报段错误。
动态调试时可以在0x401220处下断点,F9运行至此,并新建一个终端来连接tutorial;且将该判断语句成立,实现不跳转,如下图所示。
之后,将进入0x400FA2函数,也就是menu函数。在该函数中,会打印菜单供用户选择,如果不选择2(practice),则退出内层循环,否则进入func2函数。如果选择3,则退出外层循环,而选择1,则进入func1函数。
我们首先进入func1函数看看,内存地址是0x400e62。进入后,首先会调用dlsym函数,用来获取puts函数的地址并减去0x500,通过write函数打印出来。
有了puts函数的地址,我们就可以绕过aslr,获得libc库基址,从而获得libc库中任意函数的地址,公式如下:
任意函数地址 =(puts函数地址 - puts的offset) + 任意函数的offset
而通过readelf可知,puts函数在本地libc库中的偏移为0x6a2a0。题目给出的libc库是2.19版本,相应替换即可。
从而可知:
Libc库基址 = puts函数地址 - puts的offset
= 0x7fd33a29d2a0 - 0x6a2a0 = 0x7fd33a233000
按此方式,我们来获取system函数的地址:
System函数地址 = 0x7fd33a233000 + 0x3f870 = 0x7fd33a272870
(以上地址均为当前调试结果且libc库为本地2.21版本