拿到题目,先看看保护措施,再拖进ida分析:
image.png
源程序开启了堆栈不可执行保护,问题不大,看ida:
image.png
gets函数高危函数,还是栈溢出的漏洞,下一步找system和/bin/sh
image.png
这题看着好像很麻烦,找不到system和/bin/sh的地址,于是先找到知道的东西先:
先看看栈的大小先:
image.png
这里使用暴力法,扔一堆字符进去!看报错点再哪里,然后可以间接查看栈大小,这是覆盖了返回地址的相对偏移大小,也就是可以直接填充的‘A’的个数,下一步,那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的,也就是说要找基地址,因为公式:A真实地址-A的偏移地址 = B真实地址-B的偏移地址 = 基地址!
基地址大家都一样,间接地通过B来获得基地址从而获得A的真实地址!那么如何得到 libc 中的某个函数的地址呢?我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。当然,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址,已经执行过的话就会在got表生存下来,有了真实的地址!这里,我们选用puts函数实现2次调用,让它生存下来:
image.png
交互时接受返回的地址,由于是32位的文件,每4位切一次片,用u32可以转成地址,
image.png
接下来根据泄露出来的puts的真实地址去查libc的版本:
我们知道这些函数地址是动态链接的,但是最后12位是不变的,利用这个特性,可以查了,
image.png
可见最后的12位是ca0(3*4=12),查表
很好,得到了我们想要的版本了,偏移量随之产生:
image.png
脚本差不多可以写了:
image.png
最后运行下:
image.png
成功提取到权限!这题做了我2个多钟头,一直钻研,当然途中遇到很多的弯路,就不多说了,学习才是王道,加油!
网友评论