PWN49
用ida打开我们发现是静态编译的,所以先要通过libc库来打是不可能的了,程序里面有一个栈溢出点,找一下有没有system函数,发现并没有
那么我们找一下有没有mprotect函数如果有这个那么我们可以把一段地址改成可读可写可执行权限,然后写入我们的shellcode就可以执行了,发现确实有这个那么思路就清晰了
我来介绍一下什么是mprotect函数
在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。
函数原型如下:
include <unistd.h>
include <sys/mmap.h>
int mprotect(const void *start, size_t len, int prot);
mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。
prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:
1)PROT_READ:表示内存段内的内容可读;
2)PROT_WRITE:表示内存段内的内容可写;
3)PROT_EXEC:表示内存段中的内容可执行;
4)PROT_NONE:表示内存段中的内容根本没法访问。
不过要注意的是锁指定的内存区间必须包含整个内存页(4K)。区间开始的地址start必须是一个内存页的起始地址,并且区间长度len必须是页大小的整数倍。意思就是地址后三位为0结尾(4096)的整数倍
这里地址我们可以取bss段地址
知道这个就可以开始写exp了,思路是通过mprotect函数来修改bss地址的权限,然后调用read读取我们写的shellcode,但是要找到3个连续的pop来把mprotect的3个参数弹出然后传read参数最后返回到bss段执行shellcode
exp如下
