本文介绍了通过 Jarvis OJ 的 level3 问题,利用 ROP(Return-Oriented Programming)技术来绕过NX保护。首先,通过read()溢出构造ROP链,找到write()函数真实地址。接着,根据libc-2.19.so的相对地址,计算system和"/bin/sh"的地址。然后,使用write()再次溢出,执行system,最终获得shell。详细步骤包括泄露write()的运行时地址,计算libc的偏移,并利用延迟绑定机制完成目标函数地址的获取。
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。
level3.rar.2047525b05c499c9dd189ba212bba1f8
首先查看一下开启了哪些保护:
开启了NX,栈上不能执行shellcode。
然后用IDA查看一下代码:
main:
.text:08048484 ; =============== S U B R O U T I N E =======================================
.text:08048484
.text:08048484 ; Attributes: bp-based frame
.text:08048484
.text:08048484 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:08048484 public main
.text:08048484 main proc near ; DATA XREF: _start+17↑o
.text:08048484
.text:08048484 var_4 = dword ptr -4
.text:08048484 argc = dword ptr 8
.text:08048484 argv = dword ptr 0Ch
.text:08048484 envp = dword ptr 10h
.text:08048484
.text:08048484 ; __unwind {
.text:08048484 lea ecx, [esp+4]
.text:08048488 and esp, 0FFFFFFF0h
.text:0804848B push dword ptr [ecx-4]
最低0.47元/天 解锁文章
扫一扫
572
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
