程序分析
- 开启了沙盒ban了execve
- fun函数可以覆盖到rbp的位置
- check函数会检查该位置是否有下面的字符串,小端序记得反过来写
- 白给了程序的一个地址(end),通过减去偏移拿到程序的基地址
- 调试发现最后一个read可以改写rbp以及rsp
思路
- func函数可以让我们改写rbp,且通过最后一个read可以实现任意地址写入0x10的数据,但是开启了pie,且我们是后面才拿到的程序基地址且禁止了系统调用,所以打orw
- 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移
- 在第一个链中输出完之后再执行一个read向end写入第二个rop链
- 第二个rop链就是常规的open,read,puts了
注:orw:在这里指代程序开启了orw,采用open打开flag再写入内存,最后输出的利用
exp
from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',29430)
c=process(b'./appetizer')
libc=ELF(b'./libs/2.31-0ubuntu9_amd64/libc-2.31.so')
elf=ELF(b'./appetizer')
gdb.attach(c,'''
'''</