level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc
要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。
题目链接:
level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0
先查看开了哪些保护:
和level3一样,只有栈不可执行。区别在于没有给libc。
ssize_t vulnerable_function()
{
char buf; // [esp+0h] [ebp-88h]
return read(0, &buf, 0x100u);
}
显然还是需要read()函数的溢出和rop。本题需要介绍到DynELF技术(即无穷leak直到找到libc)。
思路:
1.利用write函数泄露system地址
2.利用read函数将"/bin/sh"字符串写到bss段中
3.调用system("/bin/sh")