关于GLIBC 2.35-0ubuntu3.8下scanf对system的截断问题

stribik

关于GLIBC 2.35-0ubuntu3.8下scanf对system的截断问题

这里主要为了记录一下ubuntu22.04对应的scanf 对system地址的截断，刚好作题的时候遇到了这个版本下面的ret2libc攻击，但是最后死活打不通。

首先看到这个版本下的libc中的system:

nm -D /lib/x86_64-linux-gnu/libc.so.6 | grep 'system'

0000000000050d70 T __libc_system@@GLIBC_PRIVATE
0000000000168fb0 T svcerr_systemerr@GLIBC_2.2.5
0000000000050d70 W system@@GLIBC_2.2.5

注意这个0d70，这里就是我们的一个小小坑点，对应我们ascii是\p，就会导致scanf的截断。

所以在用这个打ret2libc的时候，就存在一个不能用这里的system打我们传统的那个链子。
解决办法也很简单，用其他的函数也就可以了，所以最后我这里用的是execve来打（
顺便简单说一下exec的链子怎么写：
函数定义：

int execve(const char *pathname, char *const argv[], char *const envp[]);

链子构成：
pathname（/bin/sh）放入 rdi。
argv[] （NULL）放入 rsi。
envp[] （NULL）放入 rdx。

最后的rop链：
p64(pop_rdi)+p64(bin_sh)+p64(pop_rsi)+p64(0)+p64(pop_rdx)+p64(0)+p64(ret)+p64(exec_addr)

）