本地的buf复制时未做边界检查,但这里和通常的栈溢出算偏移量再做ROP有差异,也是这道题最巧妙的地方,进入echo函数时的所有输入已经留在上一个函数栈帧中了,然而buf的复制给了覆盖返回地址的手段,先放出做ROP时栈的分布,然后解释原因:
在echo函数中的原本的输入是从返回地址之后的位置开始的,填充一些后可以覆盖返回地址,buf复制中止的条件是读到'\0'字节,用ropper或ROPgadget找到的gadget地址高位字节均为'\0':
剩下的就是ret2libc环节了,看了别人的WP最后也用了Libcsearcher这一工具,可以在libc信息未知的情况下根据got表中库函数的地址推测libc的版本并给出函数或字符串在libc中的偏移量,写exp:
比较奇怪的是IO,main中的"Welcome to RCTF\n"会先于ROP链中的puts(elf.got['puts'])打印出来,这大概率和write和printf的缓冲区输出相关,但我在本地调试时打印顺序是符合ROP链的,而且本地的libc没有与Libcsearcher云上存的Libc库匹配,这可能是因为本地的libc版本过新的原因,以后还是尽量调试pwninit后的elf文件。
利用ret2libc3实验原理,用pwn的文件来尝试一下。
首先,拿到了一个pwn文件,用IDA女神看看源程序是什么样子的。
这里有read函数,看来可以靠栈的溢出来实现getshell。
这次相比实验二的难点在于不允许使用system函数,然后都需要自己找到。
system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
也就是说可以通过泄露出某个函数的地址,减去在libc中的相对偏移,就能得到libc的基址,利用system的相对偏移就可以找到system函数。这里利用了puts函数。
为了得到libc中函数的地址,我们用的是got表泄露。涉及到got表与plt表的关系,大家可以去这里看一下。
GOT表和PLT表知识详解 - qq_18661257的专栏 - CSDN博客
国际惯例,看一哈文件保护,果然没什么有效的保护。
接下来就是找system函数的地址,写个脚本,主要是为了实现与pwn文件交互。
这两句可以理解为搭调试的环境,方便动态调试。
下面进行puts地址的泄露。
我们是在文件第一次执行的时候泄露puts。payload的作用如下图所示,将read函数的返回值赋为puts.plt,main函数的地址又为puts函数的返回值,puts.got作为puts函数的参数,泄露puts函数的地址。
主函数的地址在IDA里可以看到,至于填充多少个字符,方法在实验二讲述过。
main = 0x080484FD
接下来就是利用泄露出来的地址找到system和字符串_bin_sh。
LIbcSearcher利用泄露的puts函数的地址找到libc的版本,libc.dump可以查出偏移量,进而找出libcbase,也就是库函数的基址,再加上system的偏移就可以得到它的地址。
在脚本终端可以看到打印的地址。
puts:0xf7df9140
system: 0xf7dd4940
binsh: 0xf7ef302b
输入ls,可以看到电脑中的文件,getshell,也可以看看我是谁,hh。
唉,实验做出来不容易,环境崩了以后调了好久,网上的方法都试过了,没有用(Tina噜,我的电脑和大家的不一样妈?!!!)。
最后将编译器重新装了一遍就好了......哭辽。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)