1.是64位的文件,拖入IDA分析,发现好复杂一串,我们直接在终端中运行一下,就知道其中的逻辑很简单选数字几就会进入其中的函数运行,这里我们要进入Encrypt函数,因为其中有gets函数和puts函数,我们要利用puts函数来泄露libc的地址值。
2.因为是64字节,我们先用垃圾数据覆盖一下栈,然后sp到ret指令的地址时,用pop_rdi_ret来将puts_got表的内容弹到rdi中,然后再去执行puts函数,最后回到main函数,这时已经泄露了puts函数的真实地址。
3.接下来,我们就应该获得libc的地址了,用libcsearcher这个模块来泄露,然后就可以得到system函数和/bin/sh/字符串的地址啦。问题差不多就解决了。
4.总结:我学到了ljust的用法(ljust是python自带的模块),还有一些堆栈平衡的知识,构造payload2时可能会需要先在ret的地址上覆盖ret的地址。(就比较绕,咱也不懂,求解释。)
5.由于我用的是deepin,不是ubuntu,可能没有libc,所以我用libcsearcher时,需要更新libc,参考:https://blog.csdn.net/yongbaoii/article/details/113764938
6