今天继续。先补充两个知识
导出表:
是PE文件为其他应用程序提供自身的一些变量,函数及类
- typedef struct _IMAGE_EXPORT_DIRECTORY{
- DWORD Characteristics;
- DWORD TimeDateStamp; //导出表创建时间
- DWORD MajorVersion; //主版本号
- DWORD MinorVersion; //子板不号
- DWORD Name; //指向一个与输出函数关联的文件名的RVA
- DWORD Base; //索引基址
- DWORD NumberOfFunctions; //导出地址表中的成员个数
- DWORD NumberOfNames; //导出名称表中的成员个数
- DWORD AddressOfFunctions; //导出地址表
- DWORD AddressOfNames; //导出名称表
- DWORD AddressOfNameOrdinals; //指向导出序列号数组
- }IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
导入表:
是PE文件从其他第三方程序中导入API,以供本程序调用
- typedef struct _IMAGE_IMPORT_DESCRIPTOR{
- union{
- DWORD Characteristics;
- DWORD OriginalFirstThunk; //指向输入名称表的RAV
- };
- DWORD TimoeDateStamp; //时间标识
- DWORD ForwaiderChain; //转发链,如果不转发则为0
- DWORD Name; //指向导入映像文件的名字
- DWORD FirstThunk; //指向输入地址表的RAV
- } IMAGE_IMPORT_DESCRIPTOR;
继续实验:
这次成功了,怀疑之前是因为端口绑定的原因。
简单总结一下对抗单独的nx
只需要在函数下断使用peda print出exit和system地址既可,然后使用pattern_create 和pattern_offset 获得偏移既可
然后再使用find /bin/sh 既可
最后payload 只需要部署成 偏移+system+exit +/bin/sh既可。
(注意此处,直接使用peda插件可以find到/bin/sh但是不用插件就需要寻找了。另外要注意跑完程序后,就会退出lib.so 所以需要下断,再print)
不废话直接下一个实验!
开启aslr后,程序本身的地址不会变,而是stack和lib.so的位置会变。
可以使用cat /proc/pid/maps来观察
因此我们只需要把返回值设置成程序自身既可。
此处,先使用libc.so泄露出的某些函数的地址,再通过该函数计算libc.so的固定偏移来继续基地址。然后
继续通过偏移计算system和/bin/sh的地址既可
先使用objdump -d -j .plt vul
(-j是指定输出段 -R显示文件的动态重定位入口)
.plt和.got.plt的地址是不会变
此处需要使用pwntools的EFL模块
先上代码吧:
再次成功。上完课回来再总结。
(为什么返回参数要在ret前? 因为需要调用函数先将参数push,然后执行call指令。call指令之后调用函数失去权限)
(此处仍保留一个疑问:为什么按理说是第一个参数的exit()函数,却变成了system(/bin/sh),exit())
先总结一下,此时需要的地址:
1.write_plt
2.write_plt_got
3.write
4.system
5.vul_func
6./bin/sh
其中:
system_addr =
write_addr - (libc.symbols['write'] - libc.symbols['system'])
bin/sh_addr =
write_addr - (libc.symbols['write'] - next(libc.search('/bin/sh')))