×

DynELF函数泄漏遇到的坑

96
D4rk3r
2018.04.04 17:57* 字数 446

最近在学用DynELF + puts函数泄漏system地址从而getshell,遇到几个坑

get函数溢出时不适合用DynELF泄漏

刚开始使用gets函数产生栈溢出的程序来泄漏,但由于gets函数读到\x0a即换行符的时候就会截断,而leak函数的address又有些会带有\x0a,导致payload被截断从而程序终止

程序成功执行却起不了shell

由于gets函数不适合用DynELF,所以用read函数改写了个测试程序来利用DynELF,但能执行system却get不到shell

#测试程序
#include <stdio.h>
#include <stdlib.h>
#include <time.h>

char buf2[100];


void secure(void)
{
int secretcode, input;
srand(time(NULL));

secretcode = rand();
scanf("%d", &input);
if(input == secretcode)
    puts("no_shell_QQ");
}

void func(void)
{
char buf1[100];

printf("No surprise anymore, system disappeard QQ.\n");
printf("Can you find it !?");
return read(0, buf1, 160);
}

int main(void)
{
setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 1, 0LL);

func();

return 0;
}

可以看到是能执行system的,但是发现执行到call execve没有fork新进程,然后我改了一下源码,加一个system("/bin/sh")函数,来观察有什么不同

我发现好像少了QT_QPA_PLATFORMTHEME=appmenu-qt5这个环境变量所以get不到shell,然后检查一下payload看看哪里破坏了堆栈结构导致环境变量被破坏

原来的脚本

然后看网上别人leak函数的payload好像不用pop掉传进去的参数,然后我们改payload为

payload = 'a'*0x6c + 'bbbb' + p32(puts_plt) +  p32(vulfun_addr) + p32(address) 

再运行也还是不行,但偶然之间又改了一下最后的payload

改之前的payload

改成

改了之后的payload

竟然就能getshell了!,调了一下发现还是没有环境变量,同时call execve也没有产生新的进程,但是当执行exit函数的sysenter时就会不知道做了什么就能getshell(十分神奇)

后面我也经过大量调试+猜测,发现当

有4个数量的参数时,执行sysenter就能成功getshell...

具体的原理也没搞懂(希望日后能知道为什么),有知道的师傅也可以告诉我...

Pwn从入门到放弃
Web note ad 1