最近在学用DynELF + puts函数泄漏system地址从而getshell,遇到几个坑
get函数溢出时不适合用DynELF泄漏
刚开始使用gets函数产生栈溢出的程序来泄漏,但由于gets函数读到\x0a即换行符的时候就会截断,而leak函数的address又有些会带有\x0a,导致payload被截断从而程序终止
程序成功执行却起不了shell
由于gets函数不适合用DynELF,所以用read函数改写了个测试程序来利用DynELF,但能执行system却get不到shell
#测试程序
#include <stdio.h>
#include <stdlib.h>
#include <time.h>
char buf2[100];
void secure(void)
{
int secretcode, input;
srand(time(NULL));
secretcode = rand();
scanf("%d", &input);
if(input == secretcode)
puts("no_shell_QQ");
}
void func(void)
{
char buf1[100];
printf("No surprise anymore, system disappeard QQ.\n");
printf("Can you find it !?");
return read(0, buf1, 160);
}
int main(void)
{
setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 1, 0LL);
func();
return 0;
}
可以看到是能执行system的,但是发现执行到call execve没有fork新进程,然后我改了一下源码,加一个system("/bin/sh")函数,来观察有什么不同
我发现好像少了QT_QPA_PLATFORMTHEME=appmenu-qt5这个环境变量所以get不到shell,然后检查一下payload看看哪里破坏了堆栈结构导致环境变量被破坏
原来的脚本
然后看网上别人leak函数的payload好像不用pop掉传进去的参数,然后我们改payload为
payload = 'a'*0x6c + 'bbbb' + p32(puts_plt) + p32(vulfun_addr) + p32(address)
再运行也还是不行,但偶然之间又改了一下最后的payload
改之前的payload
改成
改了之后的payload
竟然就能getshell了!,调了一下发现还是没有环境变量,同时call execve也没有产生新的进程,但是当执行exit函数的sysenter时就会不知道做了什么就能getshell(十分神奇)
后面我也经过大量调试+猜测,发现当
有4个数量的参数时,执行sysenter就能成功getshell...
具体的原理也没搞懂(希望日后能知道为什么),有知道的师傅也可以告诉我...
