【第一天】pwn，获取系统权限，入门题，cyclic

https://pan.baidu.com/s/1qy5cyX-RJDyl3wxOXypHtA
dx5d

• 输入【./ret2text】运行程序，发现让你输入，那么我们先随便输入个【123456】，程序结束了。

  

• 用ida打开这个程序，发现有‘system’函数，还可以输入，那么就可以利用栈溢出获取系统权限。

• 首先先多输入点，看看什么时候溢出，这里用cyclic有序字符串。
• 输入【cyclic 200】生成200个有序字符。
  
• 用gdb打开ret2text，输入【gdb ret2text】。
  
• 输入【run】运行程序，程序让我们输入，则把刚生成的200个有序字符串输入，发现报错，那么就是溢出了。
• 观察可知溢出的地方是‘0x62616164’。
• 那么怎么知道到底有多少个数字溢出了呢？

• 看他报错的意思是（跳转到0x62616164）这步出错了，意思就是没有0x62616164这个位置，那这个位置是从哪来的呢，就是我们200个有序字符其中最先溢出的第部分。那么只要知道这个0x62616164是我们输入的第几个，就可以数出来它前头有几个数字了。根据ASCII码表，又根据‘0x’是16进制的意思，可以查表得出这串数字转换成字母是‘baad’。接下来就要知道cyclic的顺序了，稍微观察一下就可以知道cyclic的规则（4个数4个数有规则），轻易的就可以数出它的位置。

• 当然还有更简单的方法，前文也说了cyclic是有序字符串，自然有一个子函数可以查，“cyclic -l”代表着查询你所给的4bit字符前有几个字母。

• 输入【cyclic -l 0x62616164】，得到112，说明‘baad’前有112个字母，那么这112个字母就是填充空栈的所需量了。接下来多的就会溢出。
• 那么我们就要把我们要他跳转的位置放在112个字母后让他溢出，就可以实现跳转。
  
• 在ida里找到system函数，但是点进去所显示的语句所在的行数，不是system函数真正的行数，而是引用system函数的语句所在的行数。
• 看到system和↑或者↓在同一行，点击↑或者↓，点了几次点不了了，就找到了system函数真正的位置。

• 发现system函数的值是‘/bin/sh’，运行这个system函数加这个值就可以获得系统权限。
• 记录下所要跳转到的这一行，写脚本，将其放在112个填充物的后面。

from pwn import *

sh=process('./ret2text')
elf=ELF('./ret2text')
target=0x0804863A
#即/bin/sh所在位置
sh.sendline('a'*112+p32(target))
#至此就获得了系统权限
sh.interactive()
#打开交互页面

退出gdb，输入【python exp.py ret2text】让程序运行我们的脚本。
终于，我们获得了系统权限。