攻防世界 level3

攻防世界 level3_第1张图片
攻防世界 level3_第2张图片

整个程序就这么几行代码,
vul函数里有明显栈溢出,猜测是覆盖返回地址为system,,,但是程序里没有system也没有binsh,所以只能自己泄露
查一查write函数,三个参数,第一个为1代表输出,第二个是要输出东西的指针,第三个是输出长度
所以可以利用wirte,把第二个参数改为某个libc里面函数的地址,泄露出来,然后根据偏移得到system和binsh

但是只有一个read函数并不能改写write的参数,因为write比read提前调用,参数都已经用过了
只能让总体函数在进行一遍,多出来write的利用机会,,所以要把vul函数的返回地址覆盖为vul的起始地址

自己想的时候,认为不能覆盖为vul的起始地址,而是覆盖为0x8048460即
攻防世界 level3_第3张图片
也就是vul+21的地方,然后再这样构造栈
第一次read:
++++++++
0x8048460 (原vul函数返回地址)
++++++++
0x1
++++++++
__libc_start_main_addr (我选择泄露此函数)
++++++++
0x4
+++++++
因为我认为,在vul+21之前会入栈很多东西,这样剋的那个会干扰参数,那传进去的三个参数不就没用了吗。。。。

其实这样是不对的,当返回地址覆盖之后,将要返回某个地址的时候,此时的栈的状态属于刚刚执行完start的栈的状态,此时返回到vul+21那个地方,之前栈里面应该放进去的参数都没有放进去,这样一直执行下去的话肯定缺少重要参数无法执行。。。。
想法太幼稚

所以应该把返回地址覆盖为write函数的plt地址(因为已经执行过write函数所以got表里已有真实地址),然后像这样布局
攻防世界 level3_第4张图片

这是进入了wirte里面栈的布局,把第一个改为vul的地址就能在泄露地址之后,实现程序整体的一次循环

攻防世界 level3_第5张图片

注:对于plt和got的机制的理解,做完这道题才理解的比较清楚
《程序员的自我修养》里面讲的:

bar@plt:
jmp *(bar@GOT)
push n
push moduleID
jmp _dl_runtime_resolve (本文作者ps:找函数真实地址的函数)
bar@plt的第一条指令是一条通过GOT间接跳转的指令。bar@GOT中保存bar()这个函数相应的项。如果链接器在初始化阶段已经初始化该项,并且将bar()的地址填入该项,那么这个跳转地址的结果就是我们所期望的,跳转到bar(),实现函数正确调用。但是为了延迟绑定,链接器在初始化阶段并没有将bar()的地址填入该项,而是将上面代码中第二条指令"push n"的地址填入到bar@GOT中…

你可能感兴趣的:(攻防世界 level3)