Welpwn
很久以前的了,现在整理一下
题目的漏洞很明显,就是一个栈溢出。程序打开了NX,却没有给libc。重点是,在向栈上拷贝数据时,如果输入中含有'x00',会被截断,对利用漏洞造成了困难。虽说被'x00'截断但是还是能将返回地址覆盖。
以前曾见到一篇名为return to dl_resolve的文章,副标题是ret2lib without information leak,感觉很有意思,但是没仔细看。感觉可以用到这个题目上,这次就拿出来学了一下。
我注意到虽说在echo函数里,输入会被截断,但是在main函数里输入并没有被截断,被完整保存在栈上,因此如果将返回地址覆盖为0x0040089c,这样的话,就和没有'x00'字符截断的情况一样了,可以完全利用return to dl_resolve来做。在github有范例的exp,我就修改了下exp,顺利拿到shell。
Exp:
Shell:
