libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。
一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址
同时获得程序start地址 构造payload
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4)
后面三个是write函数的参数 write(1,'write_got',4) 4代表输出4个字节,write_got则为要泄露的地址
binsh在libc中的地址可以直接搜索得到 binsh_libc = libc.search('/bin/sh').next()
其中地址计算如:
libc_base = leak_add - leak_libc(函数在libc中的偏移)
system_add = libc_base + system_libc
binsh_add = libc_base + binsh_libc
