0x0 程序保护和流程
保护:
流程:
main()
echo()
echo函数中存在明显的栈溢出漏洞。
0x1 利用过程
使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断在写入地址的时候无法避免,但是巧合地是输入缓冲区就紧接着echo返回地址。
如图,0x7fff0048ea90~0x7fff0048eaa0是echo的栈空间,0x7fff0048eab0~0x7fff0048eb48是输入缓冲区。所以如果想要执行gadget只需要连续pop4次的就能使栈顶指向gadget。
0x2 exp