本文介绍了在解决Jarvis Oj的Pwn level4时遇到的挑战,包括没有libc文件、无法直接找到system和/bin/sh字符串。通过学习并应用DynELF,成功找到system地址,并利用read函数将'bin/sh'写入.bss段,从而完成挑战。
(Jarvis Oj)(Pwn) level4
先看一下保护措施,没什么奇怪的地方。
这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所以可以通过调用read函数,将”bin/sh”写入到.bss段中,于是所有条件都齐了,写得脚本。
from pwn import *
conn=remote('pwn2.jarvisoj.com','9880')
#conn=process('./level4')
e=ELF('./level4')
pad=0x88
write_plt=e.symbols[
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
